ARP预防之sniffer排查ARP查实例.doc

《ARP预防之sniffer排查ARP查实例.doc》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、ARP预防之sniffer排查ARP查实例这段时间以来，我们都遭受着arp欺骗之苦，根据个人在实际中的经验，特此把本人排除此类网络故障的一些心得体会，供大家互相学习，有不对的地方请大家指正。　　网络故障现象：网速变得很慢，部分机能正常上网，但也会偶尔出现连续几个掉包现象，大部分机器不能正常上网，出现了严重的连续的掉包现象，过一段时间又能自动连上，ping网关，time在波动比较大。　　故障排除过程：运行Arp–a命令，发现网关指向不正确。（注本网络网关是3d0a），初步判断是31b6机器在进行arp欺

2、骗，如下图　　把分析故障主机连在镜像口上，运行snifferpro4.7。打开dashboard面版，发现broadcasts/s，因为本人抓的是其中一个网段，此网段也不过是１００多台主机，每秒钟26个广播包很不正常，但也不应该能引起广播风暴，应该是arp欺骗包正常的情况broadcasts/s维持在比较低的水平,如下图。　　正常的情况broadcasts/s维持在比较低的水平，如果发现某个时间段以来broadcasts/s居高不下，就应该引起足够的中重视. 　　切换到Hosttable面版，发现其中

3、一台主机的广播量远远大于其他主机（正常情况下维持比较低的广播量，具体要看监控时间长短但分布比较均匀，不会出现某一台主机的广播量远远大于其他正常主机的现象），因为没有截取31b6机器当时hosttable的图，用这张图片做示例，如下图： 　　切换到Protocoldistribudion,发现Arp协议使用率占很大比例（一般在正常网络运行，ip占99％以上），如下图： 　　对广播量最大的主机31b6进行抓包解码分析,发现31b6主机不断欺骗网关，宣称它是192.168.2.0/24网段的主机（够狠毒，让

4、其他的主机不能和网关正常通讯），如下图：  　　附图说明：31b6对网关宣称它是192.168.2.2主机　　31B6对网关3d0a宣称它是192.168.2.15的主机，如下图： 　　到此，造成这次的网络故障原因就已经很清楚了，是31b6机器在进行arp欺骗活动，所以造成其他主机不能正常上网，很遗憾因为抓包时间不够长，所以不能看到31b6欺骗其他主机，宣称它是网关的数据包，因此，对31b6进行隔离,杀毒，发现了是一个可疑进程npf，用超级魔法兔子清除此进程，用反间谍专家清除木马文件，用kav6杀毒（

5、就差点没有低格了，哈哈）整个网络又回复了正常。