《CSNA網(wǎng)絡分析認證專家實戰(zhàn)案例》課件-第27章

第27章某局ARP欺騙故障分析27.1故障環(huán)境 27.2故障現(xiàn)象 27.3故障分析27.4總結(jié)

該局的網(wǎng)絡環(huán)境比較簡單，大體如圖27-1所示。27.1故障環(huán)境

圖27-1辦公機的網(wǎng)段是192.168.200.X/24，辦公機的網(wǎng)關(guān)地址是192.168.200.254，配置在Cisco3560上，服務器的地址段為10.139.144.X/24。

在辦公區(qū)訪問服務器區(qū)時會出現(xiàn)時通時斷的現(xiàn)象：辦公機是通過DHCP來獲取IP地址的，當訪問不通時，重新獲取一下IP地址，就可以連通，但是用一段時間又會出現(xiàn)訪問中斷的情況。27.2故障現(xiàn)象

27.3.1分析測試

在出現(xiàn)故障時，我們Ping服務器地址發(fā)現(xiàn)無法Ping通，然后Ping辦公機的網(wǎng)關(guān)地址，發(fā)現(xiàn)網(wǎng)關(guān)地址也無法Ping通。通過查看辦公機的ARP表，發(fā)現(xiàn)網(wǎng)關(guān)地址對應的MAC地址全為0，如圖27-2所示。27.3故障分析

圖27-2通過上面的分析測試我們可以了解到，當主機無法訪問服務器時，主機連網(wǎng)關(guān)都無法Ping通，而且主機中網(wǎng)關(guān)的MAC地址全為0，即主機沒有學習到網(wǎng)關(guān)的MAC地址，所以主機無法跟網(wǎng)關(guān)進行通信，從而導致主機無法連通服務器。27.3.2數(shù)據(jù)包捕獲

正常連接時，主機應該是有網(wǎng)關(guān)的IP地址和MAC地址的ARP映射表的，但是在訪問服務器不成功時并沒有學習到網(wǎng)關(guān)的MAC地址，造成這種故障的原因很大可能是網(wǎng)絡中ARP欺騙。為了驗證網(wǎng)絡是否有ARP欺騙，我們通過在交換機3560上做端口鏡像來抓取交互的數(shù)據(jù)包，具體部署如圖27-3所示。

圖27-3如圖27-3所示，因為辦公機連到3560的端口是f0/46，所以我們只鏡像f0/46，將該端口鏡像到端口f0/25，然后把科來網(wǎng)絡分析系統(tǒng)連接到f0/25端口上捕獲通信的數(shù)據(jù)包。27.3.3數(shù)據(jù)包分析

我們在分析數(shù)據(jù)包時發(fā)現(xiàn)網(wǎng)絡中存在大量的IP地址沖突，如圖27-4所示。

圖27-4通過診斷視圖中的診斷提示，發(fā)現(xiàn)產(chǎn)生IP地址沖突的源IP地址是故障網(wǎng)段的網(wǎng)關(guān)地址，見圖27-5。

圖27-5通過觀察圖27-5可知，192.168.200.254對應的MAC地址有兩個，一個是00:25:64:A8:74:AD，一個是00:1A:A2:87:D1:5A，而MAC地址為00:25:64:A8:74:AD的主機對應的IP地址為192.168.200.33，00:1A:A2:87:D1:5A才是192.168.200.254真實的MAC地址，如圖27-6所示。

圖27-6所以當辦公區(qū)訪問服務器不通時，我們Ping網(wǎng)關(guān)地址不通，是因為辦公區(qū)機器在向網(wǎng)關(guān)發(fā)送請求時請求的是錯誤的網(wǎng)關(guān)地址，網(wǎng)關(guān)沒有響應主機的請求，從而導致主機學習不到正確網(wǎng)關(guān)的MAC地址。

所以，網(wǎng)絡不通就是由于192.168.200.33這臺主機進行ARP欺騙造成的。27.3.4分析結(jié)論

通過上面的分析可以看出，MAC地址為00:25:64:A8:74:AD，IP地址為192.168.200.33的這臺主機中了ARP病毒，將自己偽裝成網(wǎng)關(guān)，欺騙網(wǎng)段內(nèi)主機。

對于ARP病毒，只要定位到病毒主機，我們就可以使用ARP專殺