本帖最后由 jrmd 于 2015-8-8 16:07 编辑
环境简介:企业内部 PC 数量约 450 台左右,在 HP 5412zl 核心交换机上划分了两个 VLAN:192.168.0.0/255.255.0.0,这是生产网,子网内的电脑约300多台,所以配置的是B类网,因为C类网只有255个IP不够用。
另一个子网:10.0.0.0/255.255.255.0,这是行政网,在互联网出口路由器上设置了 ACL,只允许 10 子网的数据报流出路由器,简单来说就是 10 子网可以上互联网,192 子网不能上互联网。
症状:
昨日(8月7日)下午15时左右,技术人员报告问题,所有电脑如果重启后均无法通过 DHCP 获取到IP地址!业务面临中断!!
我登录 DHCP 服务器,发现地址池全部被占用完毕,其中有很多
BAD_ADDRESS
BAD_ADDRESS
...
......
把 DHCP 地址池的剩余 IP 资源全部占用完,导致客户端 PC 重启后无法获取到IP。
在 10 子网内随便找了台电脑,ARP -A 查看 ARP 地址表:
Internet Address Physical Address Type
10.0.0.1 00-12-79-8d-8f-00 dynamic
10.0.0.4 00-12-79-8d-8f-00 dynamic
10.0.0.48 54-e6-fc-74-3b-e0 dynamic
10.0.0.57 c8-1f-66-1f-a2-4d dynamic
发现一个很奇怪的问题,为什么第二个 ARP 表项的 MAC 地址与第一条 10.0.0.1(核心交换机)的MAC地址一模一样呢??ARP 欺骗应该是 IP 地址一样,冒充 10.0.0.1,但广播出来的 MAC 地址肯定是中毒那台电脑的真实MAC,对吧?另外,如果给客户机 PC 设置静态IP,随便设成哪个 IP 都会报地址冲突,即使设一个根本不是我们企业网段的 IP:148.2.0.1/255.255.255.0,也会报地址冲突,这就让我很纳闷了~~~
然后用科莱进行抓包,发现核心交换机 10.0.0.1 不停的在 ARP 广播,怀疑是核心交换机出了问题,准备把它换掉。但又担心核心上配置了很多东西,更换核心后新核心交换机配置对不对?能不能用?正在犹豫时,核心的 ARP 广播包数据变少了,从几秒内发10多20个,降到25秒内发1、2个,
这个时候把 DHCP 的地址池内 BAD_ADDRESS 的项目删除,重启DHCP服务,发现客户端电脑又可以上网了。
因为比较晚了,就没有去深究原因,各自回家了。
今天中午刚准备午休,值班技术人员又打来电话,说又出现昨天那个问题了。马上到单位,发现 DHCP 地址池确实被 N 多 BAD_ADDRESS 把地址池给占用完了。
APR -A,发现昨天核心 MAC 地址重复的问题不出现了,但 10.0.0.20 这台电脑的 MAC 地址有问题:
Internet Address Physical Address Type
10.0.0.1 00-12-79-8d-8f-00 dynamic
10.0.0.4 44-87-fc-d3-cb-28 dynamic
10.0.0.20 00-00-00-00-00-00 invalid
10.0.0.48 54-e6-fc-74-3b-e0 dynamic
10.0.0.57 c8-1f-66-1f-a2-4d dynamic
10.0.0.95 00-e0-6f-29-58-32 dynamic
10.0.0.96 00-30-67-23-8e-0b dynamic
10.0.0.103 44-87-fc-fc-80-7c dynamic
启动科莱抓包分析,发现有几台电脑老是在发 ARP Who is 广播,目标广播就是 10.0.0.20,但目标物理地址是 ff:ff:ff:ff:ff:ff,如下图。
请问:
1、这两天出现的网络故障,不是核心交换机的问题吧?
2、中病毒的电脑是发 ARP 广播包的电脑呢?还是 10.0.0.20 这台电脑?
3、在科莱软件里,怎么把抓到的包保存下来,上传到论坛给大神分析呢?
4、正常情况下,A 要和 B 通信时,先发个 ARP Who is 包在子网内广播,目标 IP 是 B 的 IP,目标 MAC 地址就是 FF:FF:FF:FF:FF,这样才能广播,所以 arp Who is 时,目标 MAC 地址是 FF:FF:FF:FF:FF:FF 正常的,对吧?
|
发表于 2015-8-8 15:30:04