2006-10-12 11:30
zdygk
一次网络ARP病毒故障的排除
昨天我们的网络遭遇了ARP病毒,helpdesk无力排除,只好我果壳来客串一下。过程如下:
网络某vlan段会间歇性断开,几秒后又自动恢复。
[size=12px]1:网络采用星形结构,分了两个Vlan,一个服务器端,一个workstation用。中心交换机一个catalyst 4506。[/size]
[size=12px]2:发作现象:客户机网段的大面积机器莫名其妙的出现中断,几秒后又自动恢复正常。[/size]
[size=12px]
应该不是蠕虫,因为在该网段用软件防火墙检测没有大量的连接。
[/size]
[size=12px]怀疑的对象:[/size]
[size=12px]1).交换机ARP表更新问题;
2).广播或路由环路故障;
3).病毒攻击[/size]
[size=12px][/size]
[size=12px]由于网管在异地,我无法访问网络设备。先分析一下故障现象。故障发作时,在故障机开ping,发现同网段的机器都OK,但是本网段的默认路由ping time out。[/size]
[size=12px][/size]
[size=12px]同事提醒下,怀疑是ARP病毒。马上先通知所有的本网段用户同志,在winxp下输入命令:[/size]
[size=12px]arp -s gate-way-ip gate-way-mac[/size]
[size=12px]固化arp表,阻止arp欺骗。[/size]
[size=12px][/size]
[size=12px]但是网络还是很慢,估计病毒发送大量广播包导致。[/size]
[size=12px]于是开始谷歌。[/size]
[size=12px]找到一个小软件,antiarp sniffer,输入正确的default gateway 的IP和MAC,并确保本机的arp表都是dynamic的item;监控2H,抓到元凶机器的MAC(其实就不停的arp -a也可以查出来,一旦default gateway的MAC在arp表中变化,新的MAC即为毒发机器),然后运行工具nbtscan,即可发现元凶机器的IP地址。[/size]
[size=12px][/size]
[size=12px]经查,是类似网银大盗或者QQ病毒之类的小病毒。 ARP 机制何其脆弱!:L [/size]
[size=12px][/size]
[size=12px]解决这个问题挺棘手。基本思路是固化所有的arp表,在交换机、路由器、桌面机,彻底消除arp 机制的不安全性。固化的程度和工作量成正比。 [/size]
[size=12px][/size]
[[i] 本帖最后由 zdygk 于 2006-10-12 11:33 编辑 [/i]]
昨天我们的网络遭遇了ARP病毒,helpdesk无力排除,只好我果壳来客串一下。过程如下:
网络某vlan段会间歇性断开,几秒后又自动恢复。
[size=12px]1:网络采用星形结构,分了两个Vlan,一个服务器端,一个workstation用。中心交换机一个catalyst 4506。[/size]
[size=12px]2:发作现象:客户机网段的大面积机器莫名其妙的出现中断,几秒后又自动恢复正常。[/size]
[size=12px]
应该不是蠕虫,因为在该网段用软件防火墙检测没有大量的连接。
[/size]
[size=12px]怀疑的对象:[/size]
[size=12px]1).交换机ARP表更新问题;
2).广播或路由环路故障;
3).病毒攻击[/size]
[size=12px][/size]
[size=12px]由于网管在异地,我无法访问网络设备。先分析一下故障现象。故障发作时,在故障机开ping,发现同网段的机器都OK,但是本网段的默认路由ping time out。[/size]
[size=12px][/size]
[size=12px]同事提醒下,怀疑是ARP病毒。马上先通知所有的本网段用户同志,在winxp下输入命令:[/size]
[size=12px]arp -s gate-way-ip gate-way-mac[/size]
[size=12px]固化arp表,阻止arp欺骗。[/size]
[size=12px][/size]
[size=12px]但是网络还是很慢,估计病毒发送大量广播包导致。[/size]
[size=12px]于是开始谷歌。[/size]
[size=12px]找到一个小软件,antiarp sniffer,输入正确的default gateway 的IP和MAC,并确保本机的arp表都是dynamic的item;监控2H,抓到元凶机器的MAC(其实就不停的arp -a也可以查出来,一旦default gateway的MAC在arp表中变化,新的MAC即为毒发机器),然后运行工具nbtscan,即可发现元凶机器的IP地址。[/size]
[size=12px][/size]
[size=12px]经查,是类似网银大盗或者QQ病毒之类的小病毒。 ARP 机制何其脆弱!:L [/size]
[size=12px][/size]
[size=12px]解决这个问题挺棘手。基本思路是固化所有的arp表,在交换机、路由器、桌面机,彻底消除arp 机制的不安全性。固化的程度和工作量成正比。 [/size]
[size=12px][/size]
[[i] 本帖最后由 zdygk 于 2006-10-12 11:33 编辑 [/i]]
2006-10-12 11:42
老农
ARP欺骗,以前玩过,现在还有点印象
2006-10-12 11:46
zdygk
我差点被投诉的晕倒。ARP的广播发送量太大了。Giga的LAN都被拖的慢如牛!
2006-10-12 19:46
老老鼠
[quote]原帖由 [i]zdygk[/i] 于 2006-10-12 11:46 发表
我差点被投诉的晕倒。ARP的广播发送量太大了。Giga的LAN都被拖的慢如牛! [/quote]
慢还是能通那就还是好的,最后会不通的,别说GIGA,更快也受不了,毕竟有个处理速度的极限
我差点被投诉的晕倒。ARP的广播发送量太大了。Giga的LAN都被拖的慢如牛! [/quote]
慢还是能通那就还是好的,最后会不通的,别说GIGA,更快也受不了,毕竟有个处理速度的极限
2006-10-12 20:25
zn8903
解决思路,端点控制,桌面管理
2006-10-20 15:54
mengfh
昨天遇到同样问题,ARP地址欺骗病毒,解决过程几乎一样,为什么杀毒软件没法杀除?
2006-10-22 19:42
老老鼠
据测试,NORTON10在安全模式下可能可以杀除该病毒
页: [1]
查看完整版本: 一次网络ARP病毒故障的排除
Powered by Discuz! Archiver 5.5.0 © 2001-2006 Comsenz Inc.