ARP抓包
2018-04-02 本文已影响79人
江右十三酥
内部ARP广播,导致所有接入交换机CPU占用率达70以上,告警通知。然后核心交换机直接飚到99%,其中的ARP input 占用80以上。
严重怀疑ARP攻击
急了,定位发现的时候,以为是在A楼,但是对A楼几层设备挨个断,发现告警会下来,但美国10几分钟,又上去了。怀疑是A楼中某人将同一网线两端同时接入到(交换机、HUB)设备,导致广播风暴。如果是这样,那么对该楼每层设备挨个起BPDUguard:
interface fastethernet 0/*
switchport access vlan *
switchport mode acces
spanning-treee bpduguard enable
起完对设备查看是否有block端口,第二天上班后,发现全是0,说明不是这个问题。
这里要注意一下BPDU 包的知识点。
然后就是方案2:直接抓包:对A楼一个接入设备 选中端口镜像,然后上联口作为
方对两口进行设置完毕,一定要把该口的STP关闭,看包的情况
抓完包,发现有个地址一直ARP广播,排查地址,定位位置是在B楼,且现场排查,该地址/Mac是一台无线路由,下联10几台pc+phone。我们已经把上联的网络端口关闭,一关,接入、核心交换机的CPU占用率就下来了,告警也停止了。
这时对局域网内部进行抓包,查到了内部IP地址,找到对应的pc,是一台老旧的DELL,查杀后,发现许多未修复的高危漏洞。。。。。
通过此事,抓包技能是必须要学会的,并且,抓完包后,拆包对协议进行分析也非常关键!!!引以为戒