再现ARP攻击（某外语学校的网络ARP病毒攻击）

lovehuhu

昨天接到一个电话，某学校某老师打来，叫我去看看，说是可能路由器有问题，（路由是我卖的）说是他们学校的网络老是断，沉思了一下。。。。。。。。详细问了问，老师说的是：有时能上，有时又断了，没有节奏，能上的时候也很慢，听完。。。。。。。。。当时第一反应就是ARP病毒。但当时已经下班，也就约定今天去看看。
今天来到现场，
              先环境部署好,部署方法http://www.csna.cn/forum.php?mod=viewthread&tid=355&extra=page%3D1
            设置好端口镜像，设置方法http://www.csna.cn/forum.php?mod=viewthread&tid=9703&extra=page%3D1
            拓扑图
我大概描述一下学校里面的物理环境：机房是设置在4楼，有一个VIGOR3300B+的路由器，一个华为中心交换机，三个光纤收发器（分别是两个机房和教师宿舍区的接入线路），办公室区域是直接接到中心交换机上的，我先是全局抓包，（因为我用的是技术交流版有50节点限制，抓的包是不全的）节点限制这个问题其实不难解决，下一步会讲到，先把我的截图传上来







可以确定了，是ARP病毒。
现在要做的就是找到被病毒感染的PC
我先是把教师宿舍区，办公室区，机房A断掉，只留下机房B，再抓包（这时节点数50限制也就没问题了）结果发现机房的电脑都感染到了病毒，当时觉得很奇怪，怎么会全部都有病毒呢？带着疑问，我问了管机房的老师，老师说前两天才做系统刻盘，于是呼，我恍然大悟，难道问题就出再母盘上，为了确定我的判断，我又按照上诉方法，只留下了机房A，结果得到证实。

机房电脑告一段落，重做系统可以解决。然后我近一步检查，只接入了办公区的电脑。






确定了192.168.1.26和192.168.1.56
最后就只剩下教师宿舍区，同上方法确定了192.168.1.159。
到此为止，网络恢复平静，一切都正常了。
潜水了很久，也发个，与大家共勉之，能力有限，还望大家批评指正。 在此感谢CSNA论坛以及各位版主、管理员、菜鸟人飞。

lovehuhu

自己顶一个

oldjiang

分片排查，很好的思路

只是一个神话

不错，排错方法很有效，

liuheliuxi

恩，不错，分析问题和解决问题的思路很好，不过这个学校问题真严重，母盘都能有病毒

lovehuhu

原帖由 liuheliuxi 于 2008-9-10 10:02 发表
恩，不错，分析问题和解决问题的思路很好，不过这个学校问题真严重，母盘都能有病毒

是由于学校的计算机老师的疏忽，后来发现他的U盘是有毒的，用U盘装软件，母盘就被感染。

oldjiang

希望楼主多发一些源自实践的帖子

csllff

hao  hao !!!

lovehuhu

原帖由 oldjiang 于 2008-9-10 12:50 发表
希望楼主多发一些源自实践的帖子

一定一定，愿与CSNA论坛的所有朋友共同学习，共同进步，谢谢oldjiang仁兄的支持。

wf0794

bu  cuo,bu cuo

wf0794

bu  cuo,bu cuo

锋行

现在U盘传毒跟局域网传毒一样流行了啊,楼主分片式的解决从中我学到了一些经验,谢谢了哈

anycall

顶一个 好好的学习学习

lovehuhu

大家可以参考下面KelvinFu 的帖子，解决ARP攻击

http://www.csna.cn/forum.php?mod ... 1&highlight=ARP

larry9017

学习真是快乐ing.............

xinkelai

案例不错。值得见解。工作也许会遇上

张波

可是这个学校的网络还是不行还在掉线,问题出在教师宿舍.楼主有空的话还请帮忙查一下,谢了!

lovehuhu

请问,你是哪里?

farwellsun

不错的文章，顶了！！！！！！

crazy0ysm

可以用6.7解决50个节点的问题,但6.7有时间限制!!!

zhoubin20

好帖子顶一个。支持新发现

sky1qaz

顶下，对我很有帮助，现在我单位街道电脑就是ARP攻击在~

454004448

非常非常的不错，很好的一个实际案例。

harbour0000

evry goog