ARP攻擊搜索源頭實戰(zhàn)妙招

當一個網(wǎng)段有好幾臺服務器無法上網(wǎng)報障時， 有可能是內(nèi)網(wǎng)ARP， 馬上telnet 到三層交換機上(二層的不行)用show arp(華為設備用dis arp)可以查看到有幾個IP地址的MAC地址相同;記下這幾個IP后馬上用show logging 命令(華為設備用dis logbuffer)查看日志你會發(fā)現(xiàn)其中有一個IP沒有日志報錯;這個IP就是內(nèi)網(wǎng)ARP發(fā)起者;馬上對它采取措施(交換機上shutdown連接此IP的端口或者直接關閉此IP的服務器查殺ARP后才插網(wǎng)線開機)。

如果某臺服務器經(jīng)常有內(nèi)網(wǎng)ARP時可以考慮為此服務器單獨劃分一個VLAN以阻斷它對整個網(wǎng)段的影響;然后對它徹底處理。

也可做端口鏡像后在PC機上抓包分析;但筆者認為沒有上面的方法來行快。 如果沒有三層交換設備的網(wǎng)絡環(huán)境可以直接在PC機上抓包分析后做處理