以前在網上也讀過一些關於arp欺騙的文章,大部分介紹的症狀都是導致被***主機網絡無法正常通訊。前兩天公司的一個樓層(同一個vlan),出現一個奇怪現象,大部分網絡通訊都很正常,只是訪問公司OA系統時,用戶登錄之後,無法顯示用戶頁面。這其中只有一臺主機完全正常,這臺主機不妨命名爲HA。
首先我們對OA服務器進行排查,發現完全正常。然後對不能該樓層不能正常訪問OA的電腦進行病毒清查(沒有使用專門的防ARP欺騙工具),也無任何結果。然後升級360安全衛士,並啓用防ARP欺騙功能,偵測到有某mac地址冒充網關進行***,從而證實由於ARP欺騙引起故障。然後在主機中查看arp條目,發現網關的mac地址已被篡改。在接入層交換機查看mac地址與端口對應表,發現原來此端口所連接的主機正是HA。然後馬上對HA進行殺毒,發現多個盜號***。清除之後恢復正常。
總結:
1、arp病毒在被感染主機(HA)上一併開啓了網關功能,可以轉發大部分被***主機的數據包,從而使被***主機在看似網絡一切正常的情況下,獲取該主機的網絡數據包,達到其更加不可告人的目的。幸虧不能訪問我們的OA,否則真不知道要被蒙在骨裏多久了。
2、如果大範圍遭受ARP欺騙,則其當中至少有一臺主機網絡通訊看似是最正常的,則這臺主機很可能就是ARP病毒的感染者(宿主),所以要重點關注這樣的主機。