ARP故障說明:
ping 的時候可能好久才能接收到一個響應,或者說幹脆就Ping不通。網絡時好時壞,通過ARP -a指令不能看到同網段的線上使用者,但是net view 可以看到全網開放共享的電腦名,這時候就需要注意了,可能是ARP攻擊。
有些人覺得,通過arp -a可以查出是否有ARP攻擊,但是有時候無法看到arp清單存在異常IP,或者使用ARP防火牆,360防火牆、金山貝殼防火牆,防禦個鬼,根本檢測ARP攻擊好吧。說實話,深信服以及飛塔防火牆都沒有檢測到ARP攻擊,因為這個是公司線路接入的問題,不重要。
先準備arp檢測工具:
連結:https://pan.baidu.com/s/1fIeguW94w_FFEWGJYQrBgQ
提取碼:4tzn
--------------------
下載下傳好工具按照步驟打開,如果有ARP病毒的話會馬上檢測出被攻擊。
既然已經确定ARP病毒了,那我們就開始解決。
我公司接入方式:光纖信号源-防火牆-深信服行為管理-H3C三層交換機
緊急的解決方法有兩種:一種是防禦,一種是找源頭。
防禦:就是在三層交換機上設定政策,通過MAC或者IP進行阻斷或者隻允許綁定的MAC通訊。--這個我就不講了,提到就坑爹
源頭:拔網線,或者封LAN口,我是一根根拔掉不同片區的信号源,一步步縮小範圍,進行排故。
ABC三棟廠房分别有三根光纖
拔掉其中一根,接着重新開機工具檢測,如果沒問題說明ARP攻擊不在本棟,接着下一根,檢測,直到發現其中一根存在ARP攻擊。
确定了其中一條光纖後,進一步來到光纖的另一端,分别拔掉
機房端發現了,現在需要去光纖對應的另一端。(線路淩亂,慘不忍睹)
把交換機的所有線上線路分兩批拔掉,第一批如果沒問題,那就是第二批裡面的其中一根,道理很好了解往複幾次就查到了。
最後,發現了,192.168.1.103這個來源,就是這台筆記本,拔掉筆記本的網線全部OK。
後續屁話吐槽:
很多人肯定會想,這年頭還有ARP攻擊?
我來到一個新公司,才幾天就出現了ARP攻擊,我運維也五年多了,第一次遇到,說到底是原先的IT運維沒有做好前期工作,不去綁定MAC白名單,而我剛來,什麼都不肯交接給我,哪條光纖線路對哪棟廠房都不肯說,是以别提進入三層交換機去設定任何參數了。
因為不配合,原IT運維用他自己的方法去各種嘗試解決ARP攻擊,導緻三四天公司幾百号人的網絡一天到晚斷斷續續的,同僚都覺得因為我來了把網絡整的那麼差,實際上我來入職的當天,原IT剛好放了那台有ARP病毒的筆記本給其他同僚用,導緻我剛來就遇到ARP病毒,好吧,這個鍋,我背了,今天才試用期不到半個月就被辭退,簡直就是人生中的一大恥辱。