【案例分析】某局ARP欺骗故障分析

huan.li · 发表于 2013-1-5 16:29:45

故障环境
该局的网络环境比较简单，大体如下图所示：

办公机的网段是192.168.200.X/24的，办公机的网关地址是192.168.200.254在Cisco 3560上，服务器的地址段为10.139.144.X/24。

故障现象
在办公区访问服务器区时，会出现时通时断的现象。办公机是通过DHCP来获取IP地址，当访问出现不通时，重新获取一下IP地址，就可以连通，但是用一会又会出现访问中断的情况。

故障分析
分析测试
在出现故障时，我们通过Ping服务器地址发现无法Ping通，然后通过Ping办公机的网关地址，发现网关地址也无法Ping通过！通过查看办公机的ARP表发现网关地址对应的MAC地址为全0的MAC地址。如下图所示：

通过上面的分析测试我们可以了解到，当主机无法访问服务器时，主机连网关都无法Ping通，而且主机中网关的MAC地址全0，即主机没有学习到网关的MAC地址，所以主机无法跟网关进行通信，从而导致主机无法连通服务器。

数据包捕获
本来正常连接时主机应该有网关的IP地址和MAC地址的ARP映射表的，但是在访问服务器不成功时并没有学习到网关的MAC地址，造成这种故障的原因很大可能性是网络中ARP欺骗！为了验证网络是否有ARP欺骗，我们通过在交换机3560上做端口镜像来抓取交互的数据包，具体部署如下图所示：

如上图所示，因为办公机连到3560的端口是f 0/46，所以我们只镜像f 0/46，将该端口镜像到端口f 0/25，然后把科来网络分析系统接到f 0/25端口上捕获通信的数据包。

数据包分析
我们在分析数据包时发现，网络中存在大量的IP冲突，如下图所示：

通过诊断视图中的诊断提示，发现产生IP地址冲突的源IP地址是故障网段的网关地址：

通过观察上图，我们可以发现192.168.200.254对应的MAC地址有两个，一个是00:25:64:A8:74:AD，一个是00:1A:A2:87d1:5A，通过具体的分析我们发现MAC地址为00:25:64:A8:74:AD的主机对应的IP地址为192.168.200.33，如下图所示：

00:1A:A2:87d1:5A才是192.168.200.254真实的MAC地址。
所以当办公区访问服务器不通时，我们Ping网关地址不通，是因为办公区机器在向网关发送请求时请求的是错误的网关地址，网关没有响应主机的请求，从而导致主机学习不到正确网关的MAC地址，如下图所示：

所以导致网络不通的原因就是由于192.168.200.33这台主机进行ARP欺骗造成的。

分析结论
通过上面的分析，可以看出MAC地址为00:25:64:A8:74:AD，IP地址为192.168.200.33的这台主机中了ARP病毒，将自己伪装成网关，欺骗网段内主机。

总结
对于ARP病毒，只要定位到病毒主机，我们就可以使用通过ARP专杀工具进行查杀来解决这类故障。但是最好的办法就是能够在内网主机安装上杀毒软件，并且及时的更新病毒库，同时给主机打上安全补丁，以便做好防范防止类似的故障再次出现。

wsjn · 发表于 2013-1-6 10:18:21

ARP 最头疼看后学到很多谢楼主顶一下

大炳 · 发表于 2013-1-6 10:44:04

来看看

redhat9i · 发表于 2013-1-7 14:20:53

学习了，一般碰到的ARP欺骗病毒都是持续发送ARP包的，所以被欺骗的电脑的MAC地址表里就会一直有错误的MAC记录，这种全0的还是第一次碰到

sayaren · 发表于 2013-1-7 16:35:39

看看网络分析

xpgreen · 发表于 2013-2-26 16:54:04

很好！学习中