因网内使用路由器作交换机使用导致断网一例（非ARP病毒）

bingxuelin · 发表于 2007-9-21 10:44:05

最近公司网络一直不是很稳定，经检查排除，怀疑是因为ARP病毒攻击所致（因本公司路由器设置了禁PING，因而网络正常时无法PING通192.168.1.1,但是电信服务商的DNS可以一直PING通,偶然机会发现了在网络掉线的同时,电信服务商DNS无法PING通,但此时PING 192.168.1.1却可以PING通,因而我怀疑是其中某台计算机ARP病毒攻击所致)，后来下载了(ARP)TSC挨个电脑进行排除，结果发现了一台电脑有病毒，后对该电脑进行全面扫描杀毒后，而后网络中还是出现ARP病毒攻击（我安装了ARP防火墙，还是有提示）。有一次发现有ARP攻击后，我立刻去检查该计算机，但是该计算机没有开机，经由科来系统进行抓包分析，有如下图片显示，MAC地址为00：14：78：DC：F8：76 IP地址为192。168。1。1（该IP为公司顶层路由器的IP，ARP防火墙总是报告说192.168.1.1这个IP为攻击者，而且是外部的ARP攻击），可该MAC地址根本不是我们公司这些计算机的MAC地址，是否会是外部计算机的病毒？（因本公司与韩国总部设有虚拟局域网，是否会是韩国总部的计算机的问题？）。或者是因为计算机病毒可以自己伪装MAC地址来进行欺诈？还希望高手帮忙分析一下。

刚刚关了ARP防火墙，又看到那个MAC地址露头了。。。

最终解决:
最后是因为网内一个部门将一个路由作交换机使用,虽然是抛弃了WAN口,只使用几个LAN口,但的默认设置路由器的LAN口IP是192.168.1.1,正好与公司顶层路由的默认IP相同,这样一来,该部门的小路由时不时往网内发送ARP数据包宣称自己是192.168.1.1,此时全网掉线,同时出现PING 192.168.1.1可以PING通,而外网无法PING通的情况.
后来我偿试过关闭DHCP功能,但没有任何效果,该路由依然会向网内发送ARP包,只有将该路由的LAN口地址修改为其它地址再接入网内作交换机才行

[ 本帖最后由 bingxuelin 于 2008-12-16 17:44 编辑 ]

qzyuanmu · 发表于 2007-9-21 10:54:46

如果LZ怀疑是外网的攻击的话，拔掉外网的网线，看攻击是否继续？
可能为伪MAC地址类的攻击

zealotcc · 发表于 2007-9-21 12:00:28

伪装的可能性比较大,最好上传数据包

luxxsys · 发表于 2007-9-21 13:01:56

嗯，楼上两位高手说的有理，很可能是攻击者伪造的用来迷惑你的。

另外想问一句，对付伪造MAC地址的攻击，有什么有效的办法查出来吗？是不是束手无策了啊？

luotao251 · 发表于 2007-9-21 17:34:03

楼主检查一下：00-10-5C-DD-0E-10这台电脑。
另外可以先统计一下局域网内有多少台电脑开机了。再用科来进行物理地址扫描。之后和存档的正常的MAC地址与IP地址对照表核对。可以把有问题的伪造MAC或IP地址的电脑定位，并且找出来。

bingxuelin · 发表于 2007-9-24 14:51:08

原帖由 luotao251 于 2007-9-21 17:34 发表
楼主检查一下：00-10-5C-DD-0E-10这台电脑。
另外可以先统计一下局域网内有多少台电脑开机了。再用科来进行物理地址扫描。之后和存档的正常的MAC地址与IP地址对照表核对。可以把有问题的伪造MAC或IP地址的电脑定位， ...

不行哦。。。你说的00-10-5C-DD-0E-10这台电脑我把网线拔了也没用。。。
统计到是可以统计，我都用ARPSTC软件全部电脑都杀了一次，只有一台电脑有病毒，而且病毒发作很不规律，所有能扫描到的电脑MAC都与存档的MAC进行了比较，都没问题，愁死了

hry76 · 发表于 2007-9-25 11:22:53

把外网的网线断了还会有攻击吗?

Vurtne123 · 发表于 2007-9-26 10:10:53

很明显是你内网中有人用数据包生成器手动发的ARP应答数据包他利用伪造的网关MAC地址来欺骗其他人上不了网基本上可以肯定的是所有无请求的应答都属于ARP攻击

Vurtne123 · 发表于 2007-9-26 11:36:17

因为MAC 是伪造的所以不要尝试直接用sniffer抓包就能看出必须要改变物理结构并且配合拔网线才能抓出凶手
1 如果攻击者范围是在交换机下就在镜像口接个本本在本本上进行sniffer
2 如果攻击者范围是在路由器下并且没镜像口就在路由器的上级接个hub 再在hub上接个本本然后在本本上sniffer

并且分别拔掉交换机或路由器上所有机器的网线当拔掉XX网线发现本本上ARP攻击现象消失就能说明XX就是攻击者

[ 本帖最后由 Vurtne123 于 2007-9-26 11:44 编辑 ]

time8463 · 发表于 2007-9-27 03:19:50

和楼主同样的问题,不知楼主用的什么牌子的路由,我检查过所有设备机器的设置\病毒等情况,但问题依然存在,甚至当我单台机与路由连接时问题依然存在,所以我判定是上端ISP商问题!仅供楼主参考!

bingxuelin · 发表于 2007-9-27 23:28:57

原帖由 Vurtne123 于 2007-9-26 10:10 发表
很明显是你内网中有人用数据包生成器手动发的ARP应答数据包他利用伪造的网关MAC地址来欺骗其他人上不了网基本上可以肯定的是所有无请求的应答都属于ARP攻击

拒我掌握的情况来看，能上网的计算机使用人，没有谁会这方面知识，因为公司不大，能上网的电脑大概也就20台，每个人我都很熟悉。
公司用的fortigate 60，而且它带的防火墙。似乎不管用。。。我们科长竟然还怀疑这个路由器有病毒。。。
或许真的可能是ISP服务商那边的问题了。另外想问一下，如果和国外公司设有虚拟局域网，是否同样会因为国外公司内的电脑问题而导致我们国内公司网络出现该问题？

luotao251 · 发表于 2007-9-28 08:39:16

VLAN国外公司内的电脑问题可能会导致楼主国内公司网络出现断网。楼主可查一下国内路由器对内网和对外网的两个IP地址和MAC地址。国外路由器对内网和对外网的两个IP地址和MAC地址，共四个IP地址和四个MAC地址，提供出来供大家参考。
ARP攻击的广播风暴是不会跨过VLAN的，从楼主另一篇贴《帮忙分析一下数据包，看看是否是ARP攻击，来自内网还是外网？》所提供的数据包来看，不像是ARP攻击。
另外楼主两篇发贴信息既分散又有诸多重复，给大家的分析带来不便。这说明楼主心比较散乱，要找出问题根源可能会比较因难。静下心来可能就会找到一些线索了。

ensnareyou · 发表于 2008-10-14 12:04:39

其实很简单

公司内部有员工使用宽带路由器当作交换机使用交换机在使用，如果我没猜错的话，科来抓得MAC地址应该是宽带路由器的

LAN口MAC地址！

那么如何查找该宽带交换机喃？

也很简单，在总的交换机上使用 show arp 命令不就OK了么，你能看见该MAC地址是通过哪个端口学到的

顺藤摸瓜！逮住他！

its over !

xjj025 · 发表于 2008-11-14 23:54:50

学习学习再学习再学习

kodin · 发表于 2008-11-20 13:03:35

原帖由 ensnareyou 于 2008-10-14 12:04 发表
其实很简单

公司内部有员工使用宽带路由器当作交换机使用交换机在使用，如果我没猜错的话，科来抓得MAC地址应该是宽带路由器的

LAN口MAC地址！

那么如何查找该宽带交换机喃？

也很简单，在总的交换机上 ...

这招强，学习了，谢谢！

fairypyr · 发表于 2008-11-24 10:43:18

,好像以前是碰到过,路由当交换机使用,导致网内时断的情况.
ensnareyou, 强...

icexplorer · 发表于 2008-11-24 11:50:28

原帖由 ensnareyou 于 2008-10-14 12:04 PM 发表
其实很简单

公司内部有员工使用宽带路由器当作交换机使用交换机在使用，如果我没猜错的话，科来抓得MAC地址应该是宽带路由器的

LAN口MAC地址！

那么如何查找该宽带交换机喃？

也很简单，在总的交换机上 ...

如果是你说的那样那为什么他只固定发给XX:XX:XX:E9 那一台机器呢,E9是交换机吗?

icexplorer · 发表于 2008-11-24 11:51:44

这样吧,楼主先把你的物理网络拓扑查清楚发上来

youhaibin · 发表于 2008-11-27 15:53:37

原帖由 ensnareyou 于 2008-10-14 12:04 发表
其实很简单

公司内部有员工使用宽带路由器当作交换机使用交换机在使用，如果我没猜错的话，科来抓得MAC地址应该是宽带路由器的

LAN口MAC地址！

那么如何查找该宽带交换机喃？

也很简单，在总的交换机上 ...

很有可能是这种情况
既然可以PING通也就是说交换机里有这个MAC地址对应该的端口存在 MAC地址应该也是真实的顺藤摸瓜找下去跑不掉的

豆丁 · 发表于 2008-12-16 16:37:34

这个问题好像还没解决彻底啊，没后续了？？

bingxuelin · 发表于 2008-12-16 17:39:46

呵呵,不好意思哈,记得发过一个我解决这个问题经过的贴子了,就忘记这个贴子了,楼上几个说是很对,就是因为内网路由作交换机用,只不过核心交换机没有网管功能,顶层路由也没管理权限,解决这个问题完全是让我碰上了.一次偶然的机会登入到这个路由的管理界面看到了这个MAC地址,一切都清楚了.
很长时间的事了,最后是因为网内一个部门将一个路由作交换机使用,虽然是抛弃了WAN口,只使用几个LAN口,但的默认设置路由器的LAN口IP是192.168.1.1,正好与公司顶层路由的默认IP相同,这样一来,该部门的小路由时不时往网内发送ARP数据包宣称自己是192.168.1.1,此时全网掉线,同时出现PING 192.168.1.1可以PING通,而外网无法PING通的情况.
后来我偿试过关闭DHCP功能,但没有任何效果,该路由依然会向网内发送ARP包,只有将该路由的LAN口地址修改为其它地址再接入网内作交换机才行
当时网络知识了解很少,仅从同学那听说路由LAN口可以作交换机使用,就直接接进去了,也就是从解决那个问题后,我才开始迷恋这个论坛了,喜欢用科来了.

[ 本帖最后由 bingxuelin 于 2008-12-16 17:42 编辑 ]

clcyc · 发表于 2008-12-16 19:48:42

先前看到该贴，一直没有认真思考过，最近我公司也发生与此相类似的问题，一直以为是内网有机子中病毒，但没有想到真有同事将路由器放到网络中，到今天才发现了是由于有些同事的机子IP地址被更换了，才发现有同事私自安放了一个路由器，并且开通 DHCP分配地址造成网络中总是提示ARP欺骗。呵，总算找到了问题所在。学习到了一个新问题呵

因网内使用路由器作交换机使用导致断网一例（非ARP病毒）

本帖子中包含更多资源

回复 20# 的帖子