第一貼裏日誌現像有點像ARP欺騙;ARP欺騙容易造成網絡斷線;
以下是我的處理方法:
四、 定位過程
由於內網無法正常連接網關,遠程登陸網關已無法實現。因此一切操作均在網關服務器本地進行。
3.1 在服務器本地端口抓包
[root@Routed-Server tmp]# tcpdump -nn -i eth1 > error.network
tcpdump: listening on eth1
2749 packets received by filter
0 packets dropped by kernel
# 將通過eth1端口的包抓下來,存爲error.network文件
由於內網無法正常連接網關,遠程登陸網關已無法實現。因此一切操作均在網關服務器本地進行。
3.1 在服務器本地端口抓包
[root@Routed-Server tmp]# tcpdump -nn -i eth1 > error.network
tcpdump: listening on eth1
2749 packets received by filter
0 packets dropped by kernel
# 將通過eth1端口的包抓下來,存爲error.network文件
3.2 將ARP包截取出來
[root@Routed-Server tmp]# grep ‘arp’ error.network > arp.virus
[root@Routed-Server tmp]# ls -l arp.virus
-rw-r–r– 1 root root 6241 Oct 25 10:59 arp.virus
# 將所有ARP包截取,另存爲文件
[root@Routed-Server tmp]# grep ‘arp’ error.network > arp.virus
[root@Routed-Server tmp]# ls -l arp.virus
-rw-r–r– 1 root root 6241 Oct 25 10:59 arp.virus
# 將所有ARP包截取,另存爲文件
3.3 分析ARP包
[root@Routed-Server tmp]# vi arp.virus
~省略
10:43:26.086278 arp reply 192.168.2.2 is-at 0:14:78:80:d9:e4
10:43:26.181051 arp reply 192.168.2.3 is-at 0:14:78:80:d9:e4
10:43:26.211026 arp reply 192.168.2.11 is-at 0:14:78:80:d9:e4
10:43:26.242212 arp reply 192.168.2.4 is-at 0:14:78:80:d9:e4
10:43:26.304441 arp reply 192.168.2.162 is-at 0:14:78:80:d9:e4
10:43:26.398826 arp reply 192.168.2.167 is-at 0:14:78:80:d9:e4
~省略
# 問題出來了,可以看到以上幾個包括網關IP在內的IP地址都宣稱其位於MAC地址
# 爲“00:14:78:80;d9:e4”的網卡
[root@Routed-Server tmp]# vi arp.virus
~省略
10:43:26.086278 arp reply 192.168.2.2 is-at 0:14:78:80:d9:e4
10:43:26.181051 arp reply 192.168.2.3 is-at 0:14:78:80:d9:e4
10:43:26.211026 arp reply 192.168.2.11 is-at 0:14:78:80:d9:e4
10:43:26.242212 arp reply 192.168.2.4 is-at 0:14:78:80:d9:e4
10:43:26.304441 arp reply 192.168.2.162 is-at 0:14:78:80:d9:e4
10:43:26.398826 arp reply 192.168.2.167 is-at 0:14:78:80:d9:e4
~省略
# 問題出來了,可以看到以上幾個包括網關IP在內的IP地址都宣稱其位於MAC地址
# 爲“00:14:78:80;d9:e4”的網卡
3.4 查看網關(192.168.2.11)的MAC地址
[root@Routed-Server tmp]# ifconfig eth1 |grep -A1 ‘HWaddr’
eth1 Link encap:Ethernet HWaddr 00:0A:EB:551:72
inet addr:192.168.2.11 Bcast:192.168.2.255 Mask:255.255.255.0
# 可以看到網關的MAC地址爲“00:0A:EB:551:72”,與上面arp-reply包不相符
# 這裏基本上可以份析出中毒的機器MAC地址爲“00:14:78:80:d9:e4”
[root@Routed-Server tmp]# ifconfig eth1 |grep -A1 ‘HWaddr’
eth1 Link encap:Ethernet HWaddr 00:0A:EB:551:72
inet addr:192.168.2.11 Bcast:192.168.2.255 Mask:255.255.255.0
# 可以看到網關的MAC地址爲“00:0A:EB:551:72”,與上面arp-reply包不相符
# 這裏基本上可以份析出中毒的機器MAC地址爲“00:14:78:80:d9:e4”
3.5 準確定位中毒機器
知道可能中毒機器的MAC地址,對其定位應該不是件難事。對於小型的網絡我們可以對每臺機器的MAC地址進行查詢,但是對於大型網絡,機器臺數超過200臺的環境,這樣做並不是最高效的辦法。由於使用DHCP,這裏我想到了DHCP的租約記錄。
在/var /lib/dhcp/dhcpd.leases記錄中查找MAC地址對應的IP記錄
[root@Routed-Server tmp]# vi /var/lib/dhcp/dhcpd.leases
~省略
lease 192.168.2.161 {
starts 3 2006/10/25 02:56:22;
ends 2 2038/01/19 03:14:06;
binding state active;
next binding state free;
hardware ethernet 00:14:78:80:d9:e4;
uid "\001\000\024x\200\331\344";
client-hostname "ABEAAF6E64884EB";
}
~省略
# 在dhcpd.leases文件中,我找到如上記錄
# 可以看出MAC地址爲“00:14:78:80:d9:e4”的機器,IP地址爲192.168.2.161
# 機器名爲“ABEAAF6E64884EB”
知道可能中毒機器的MAC地址,對其定位應該不是件難事。對於小型的網絡我們可以對每臺機器的MAC地址進行查詢,但是對於大型網絡,機器臺數超過200臺的環境,這樣做並不是最高效的辦法。由於使用DHCP,這裏我想到了DHCP的租約記錄。
在/var /lib/dhcp/dhcpd.leases記錄中查找MAC地址對應的IP記錄
[root@Routed-Server tmp]# vi /var/lib/dhcp/dhcpd.leases
~省略
lease 192.168.2.161 {
starts 3 2006/10/25 02:56:22;
ends 2 2038/01/19 03:14:06;
binding state active;
next binding state free;
hardware ethernet 00:14:78:80:d9:e4;
uid "\001\000\024x\200\331\344";
client-hostname "ABEAAF6E64884EB";
}
~省略
# 在dhcpd.leases文件中,我找到如上記錄
# 可以看出MAC地址爲“00:14:78:80:d9:e4”的機器,IP地址爲192.168.2.161
# 機器名爲“ABEAAF6E64884EB”
到這裏,中毒機器的機器名,IP地址均已查出。
# 之前寫的一篇文檔,選取定位ARP中毒機器的一部份,供參考