今天一上半又有arp攻击了,以前arp攻击时很容易就检测到了。今天很特别。
故障现象:vlan10网络内部有几台机器(假设为a)不能连网,别的(b)都很正常,别的机器能ping通不能连网的机器,但a不能ping通别的机器。
处理:以前用antiarp能快速检测到arp请求风暴或攻击,同时在受害机a上用arp -d后再arp -a 也能能快速检查可疑攻击者。但今天不行!
在a机上一直ping 网关 ,不通,快速arp -d后通一下又断,此时立即进行arp -a查不到异常,antiarp最新版也无异常。
定位:arp攻击!但问题又很蹊跷,攻击就攻击了几个ip。
现在最迫切的是找到攻击的机器。
没办法,架了科来软件。分析,,,分析,,,分析。也没什么结果,和同事配合着将发包比较大的机器一个个从交换机里shutdown,还是不行。看矩阵图。
看a机时,突然发现有一条线(shitang-----)连接在a机器上。莫非是他?立即断。断了后就好了。后来一直和同事进行分析,将攻击的shitang---机器又接入,病毒攻击还在,但怎么也分析不出来,也看不出什么异常。。。。
水平有限,还是?
遇到的攻击是越来越狡猾了
从最简单的arp攻击,到后来的arp攻击挂马,到现在的攻击之后艰难定位到攻击者。。。。
下面是我后期不上的一些图。就是我分析过程中看的,看不出shitang。。机器有什么不对。但此包确实是在攻击时抓的。 |
发表于 2007-6-11 15:32:26
