[技巧]利用交换机快速查找ARP病毒的攻击源
欢迎进入网络技术社区论坛,与200万技术人员互动交流 >>进入 2. Show mac-address ------------------------------------------------------------------------------------------------------------ telnet@FES12GCF-1#sh mac-add 000b.5d4d.cb36 Total act
欢迎进入网络技术社区论坛,与200万技术人员互动交流 >>进入
2. Show mac-address
------------------------------------------------------------------------------------------------------------
telnet@FES12GCF-1#sh mac-add 000b.5d4d.cb36
Total active entries from all ports = 106
MAC-Address Port Type VLAN
000b.5d4d.cb36 2 Dynamic 247
--------------------------------------------------------------------------------------------------------------
端口2下面是接一个普通的交换机,别的topology就不用了解了。
这个样子看起来就是ARP攻击咯, 000b.5d4d.cb36这台机器作了ARP欺骗,导致所有的机器都不能正常的访问网络。
继续追查,查一下他真实的IP,连接到DHCP Server 上面,在DHCP Scope 10.10.247.1这个上检查一下该机器:
--------------------------------------------------------------------------------------------------------
10.10.247.143 ZZlin Reservation (active) DHCP 000b5d4dcb36
----------------------------------------------------------------------------------------------------------
Ping 10.10.247.143,通了,接着nbtstat -a 10.10.247.143 检查一下电脑名字是否相符, 运气不错,找到了!
第一时间通知同事去现场查找这台有问题的机器,但为了不影响生产,还要快刀斩乱麻,先把影响降到最低。
首先,在交换机上封掉该MAC:
telnet@FES12GCF-1#conf t
Warning: 1 user(s) already in config mode.
telnet@FES12GCF-1(config)#mac filter 1 deny 000b.5d4d.cb36 ffff.ffff.ffff any
telnet@FES12GCF-1(config)#end
接着清空交换机的ARP缓存,让他快速重新学习正确的arp:
telnet@FES12GCF-1#clear arp
清空交换机的mac-address,也让他重新学习:
telnet@FES12GCF-1#clear mac-add
最后再次检查ARP表:
------------------------------------------------------------------------------------------------
telnet@SAE-CA-B1-FES12GCF-1#sh arp
Total number of ARP entries: 31
IP Address MAC Address Type Age Port
1 10.10.247.18 0060.e900.781e Dynamic 0 2
2 10.10.247.20 0018.8b1b.b010 Dynamic 0 2
3 10.10.247.22 000d.60a3.77d0 Dynamic 0 2
4 10.10.247.28 0018.8b1b.b022 Dynamic 0 2
5 10.10.247.34 0013.7290.e52c Dynamic 0 2
6 10.10.247.35 0090.e804.1b2e Dynamic 0 2
7 10.10.247.39 00e0.4c4f.8502 Dynamic 0 2
8 10.10.247.44 0013.729a.7eb5 Dynamic 0 2
9 10.10.247.49 000d.6035.85c3 Dynamic 0 2
10 10.10.247.52 0009.6bed.4cc6 Dynamic 0 2
11 10.10.247.58 0013.728e.1210 Dynamic 0 2
12 10.10.247.59 001d.0909.5310 Dynamic 0 2
13 10.10.247.72 001d.0931.f0d5 Dynamic 0 2
14 10.10.247.77 0012.3f87.ea67 Dynamic 0 2
15 10.10.247.79 0018.8b23.09e3 Dynamic 0 2
16 10.10.247.81 0018.8b1d.04ba Dynamic 0 2
17 10.10.247.82 0011.43af.b0dc Dynamic 0 2
18 10.10.247.88 0017.312c.40b5 Dynamic 0 2
19 10.10.247.91 0013.728e.1a6d Dynamic 0 2
20 10.10.247.92 000f.8f28.d4e6 Dynamic 0 2
21 10.10.247.95 0002.555b.3546 Dynamic 0 2
22 10.10.247.106 0014.222a.1f64 Dynamic 0 2
23 10.10.247.136 000d.6033.d5cd Dynamic 0 2
------------------------------------------------------------------------------------------------
看来已经恢复正常咯。
回过头来,小结一下:
1. 这个是一代的ARP攻击,源MAC和源IP都没有伪造,所以很容易查找,如果是二代的攻击,就不会这么轻松咯。
希望下次有机会遇到:-)
2. 两个小时后,同时打电话过来说找到那台pc了,没装杀毒软件,查了几十个木马出来。
3. 划分Vlan能将影响降到最低。
4. 杀毒和打补丁是日常工作必不可少的一部分。
5. 交换机的选型要慎重,像上面这款Foundry FES12GCF, 除了能做静态MAC绑定, 就不能有效地预防ARP病毒的攻击。
[1] [2]
![[技巧]利用交换机快速查找ARP病毒的攻击源](/inc/test.jsp?url=http%3A%2F%2Fwww.chinaitlab.com%2Fcms%2Fimages%2Flogo14.gif&refer=http%3A%2F%2Fcisco.chinaitlab.com%2Fmethod%2F777736_2.html)
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!
熱門文章
熱工具
記事本++7.3.1
好用且免費的程式碼編輯器
SublimeText3漢化版
中文版,非常好用
禪工作室 13.0.1
強大的PHP整合開發環境
Dreamweaver CS6
視覺化網頁開發工具
SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)
Win11小技巧分享:一招跳過微軟帳號登入
Mar 27, 2024 pm 02:57 PM
Win11小技巧分享:一招跳過微軟帳號登入Windows11是微軟最新推出的作業系統,具有全新的設計風格和許多實用的功能。然而,對於某些用戶來說,在每次啟動系統時都要登入微軟帳戶可能會感到有些煩擾。如果你是其中一員,不妨試試以下的技巧,讓你能夠跳過微軟帳號登錄,直接進入桌面介面。首先,我們需要在系統中建立一個本機帳戶,來取代微軟帳戶登入。這樣做的好處是
老手必備:C語言中*與&的技巧與注意事項
Apr 04, 2024 am 08:21 AM
C語言中,表示指針,儲存其他變數的位址;&表示位址運算符,傳回變數的記憶體位址。指針的使用技巧包括定義指針、解引用指針,需確保指針指向有效地址;地址運算符&的使用技巧包括取得變數地址,取得數組元素地址時返回數組第一元素地址。實戰案例說明了使用指標和位址運算子反轉字串。
Win11系統中「我的電腦」路徑有何不同?快速找方法!
Mar 29, 2024 pm 12:33 PM
Win11系統中「我的電腦」路徑有何不同?快速找方法!隨著Windows系統的不斷更新,最新的Windows11系統也帶來了一些新的變化和功能。其中一個常見的問題是使用者在Win11系統中找不到「我的電腦」的路徑,這在先前的Windows系統中通常是很簡單的操作。本文將介紹Win11系統中「我的電腦」的路徑有何不同,以及快速尋找的方法。在Windows1
新手製作表格有哪些技巧
Mar 21, 2024 am 09:11 AM
我們經常在excel中製作和編輯表格,但是作為一個剛剛接觸軟體的新手來講,如何使用excel製作表格,並沒有我們使用起來那麼輕鬆。下邊,我們針對新手,也就是初學者需要掌握的表格製作的一些步驟進行一些演練,希望對需要的人有些幫助。新手錶格範例樣板如下圖:我們看看如何完成! 1,新建excel文檔,有兩種方法。可以在【桌面】空白位置,點選滑鼠右鍵-【新建】-【xls】檔。也可以【開始】-【所有程式】-【MicrosoftOffice】-【MicrosoftExcel20**】2,雙擊我們新建的ex
VSCode入門指南:初學者必讀,快速掌握使用技巧!
Mar 26, 2024 am 08:21 AM
VSCode(VisualStudioCode)是一款由微軟開發的開源程式碼編輯器,具有強大的功能和豐富的插件支持,成為開發者的首選工具之一。本文將為初學者提供一個入門指南,幫助他們快速掌握VSCode的使用技巧。在本文中,將介紹如何安裝VSCode、基本的編輯操作、快捷鍵、插件安裝等內容,並為讀者提供具體的程式碼範例。 1.安裝VSCode首先,我們需
PHP程式設計技巧:如何實現3秒內跳轉網頁
Mar 24, 2024 am 09:18 AM
標題:PHP程式設計技巧:如何實現3秒內跳轉網頁在Web開發中,經常會遇到需要在一定時間內自動跳到另一個頁面的情況。本文將介紹如何使用PHP實作在3秒內實現頁面跳轉的程式設計技巧,並提供具體的程式碼範例。首先,實現頁面跳轉的基本原理是透過HTTP的回應頭中的Location欄位來實現。透過設定該欄位可以讓瀏覽器自動跳到指定的頁面。下面是一個簡單的例子,示範如何在P
Win11技巧大揭密:如何繞過微軟帳號登入
Mar 27, 2024 pm 07:57 PM
Win11技巧大揭密:如何繞過微軟帳號登入近期,微軟公司推出了全新的作業系統Windows11,引起了廣泛關注。相較於之前的版本,Windows11在介面設計、功能改進等方面做出了許多新的調整,但也引發了一些爭議,其中最引人注目的一點就是強制要求用戶使用微軟帳戶登入系統。對於某些用戶來說,他們可能更習慣於使用本地帳戶登錄,而不願意將個人資訊與微軟帳戶綁定。
深入理解Go語言中的函數重構技巧
Mar 28, 2024 pm 03:05 PM
在Go語言程式開發中,函數重構技巧是十分重要的一環。透過優化和重構函數,不僅可以提高程式碼品質和可維護性,還可以提升程式的效能和可讀性。本文將深入探討Go語言中的函數重構技巧,結合具體的程式碼範例,幫助讀者更能理解和應用這些技巧。 1.程式碼範例1:提取重複程式碼片段在實際開發中,經常會遇到重複使用的程式碼片段,這時就可以考慮將重複程式碼提取出來作為一個獨立的函數,以
