欺騙病毒排查實(shí)例bj胡國(guó)華

欺騙病毒排查實(shí)例bj胡國(guó)華第1頁(yè)/共10頁(yè)2深圳吉祥騰達(dá)科技有限公司

arp欺騙病毒排查實(shí)例

第2頁(yè)/共10頁(yè)3arp欺騙病毒排查實(shí)例

在很多我們的客戶網(wǎng)絡(luò)中，經(jīng)常遭受著arp欺騙之苦，根據(jù)個(gè)人在實(shí)際中的經(jīng)驗(yàn)，特此把本人排除此類網(wǎng)絡(luò)故障的一些心得體會(huì)，供大家互相學(xué)習(xí)，有不對(duì)的地方請(qǐng)大家指正。網(wǎng)絡(luò)故障現(xiàn)象：網(wǎng)速變得很慢，部分機(jī)也能正常上網(wǎng)，部分機(jī)器上不了，但也會(huì)偶爾出現(xiàn)連續(xù)幾個(gè)掉包現(xiàn)象，大部分機(jī)器不能正常上網(wǎng)，出現(xiàn)了嚴(yán)重的連續(xù)的掉包現(xiàn)象，過一段時(shí)間又能自動(dòng)連上，ping網(wǎng)關(guān)，time在波動(dòng)比較大。并且在此時(shí)重起路由又會(huì)發(fā)現(xiàn)正常一段時(shí)間,過不了多久又是這樣.第3頁(yè)/共10頁(yè)4arp欺騙病毒排查實(shí)例故障排除過程：運(yùn)行Arp–a命令，發(fā)現(xiàn)網(wǎng)關(guān)指向不正確。（注本網(wǎng)絡(luò)網(wǎng)關(guān)是3d-0a），初步判斷是31-b6機(jī)器在進(jìn)行arp欺騙，如下圖第4頁(yè)/共10頁(yè)5arp欺騙病毒排查實(shí)例

把分析故障主機(jī)連在鏡像口上，運(yùn)行snifferpro4.7。打開dashboard面版，發(fā)現(xiàn)broadcasts/s，因?yàn)楸救俗サ氖瞧渲幸粋€(gè)網(wǎng)段，此網(wǎng)段也不過是１００多臺(tái)主機(jī)，每秒鐘26個(gè)廣播包很不正常，但也不應(yīng)該能引起廣播風(fēng)暴，應(yīng)該是arp欺騙包

第5頁(yè)/共10頁(yè)6arp欺騙病毒排查實(shí)例

正常的情況broadcasts/s維持在比較低的水平,如下圖。如果發(fā)現(xiàn)某個(gè)時(shí)間段以來broadcasts/s居高不下，就應(yīng)該引起足夠的中重視.

第6頁(yè)/共10頁(yè)7arp欺騙病毒排查實(shí)例

切換到Hosttable面版，發(fā)現(xiàn)其中一臺(tái)主機(jī)的廣播量遠(yuǎn)遠(yuǎn)大于其他主機(jī)（正常情況下維持比較低的廣播量，具體要看監(jiān)控時(shí)間長(zhǎng)短但分布比較均勻，不會(huì)出現(xiàn)某一臺(tái)主機(jī)的廣播量遠(yuǎn)遠(yuǎn)大于其他正常主機(jī)的現(xiàn)象），因?yàn)闆]有截取31b6機(jī)器當(dāng)時(shí)hosttable的圖，用這張圖片做示例，如下圖：第7頁(yè)/共10頁(yè)8arp欺騙病毒排查實(shí)例

切換到Protocoldistribudion,發(fā)現(xiàn)Arp協(xié)議使用率占很大比例（一般在正常網(wǎng)絡(luò)運(yùn)行，ip占99％以上），如下圖：

第8頁(yè)/共10頁(yè)9arp欺騙病毒排查實(shí)例

對(duì)廣播量最大的主機(jī)31b6進(jìn)行抓包解碼分析,發(fā)現(xiàn)31b6主機(jī)不斷欺騙網(wǎng)關(guān)，宣稱它是192.168.2.0/24網(wǎng)段的主機(jī)