最近今天公司老發生ip地址衝突的問題,因爲公司都是手工指定ip地址,並且在路由上做了ip-mac的綁定(或許說映射更好)。xx部門直接上門找我,說ip地址出現衝突,內部server與通信工具rtx登錄不上,不過可以上網。我直接去他主機觀察,在系統日誌找到了衝突的ip對應的mac地址:00.0c.29.fc.fc.15.而他主機網卡的mac是48.5b.39.35.33.42.衝突的ip 地址爲:192.168.0.148.因爲是在別人主機上就沒有截圖了,如果大家要看系統日誌:
去"我的電腦"右鍵“管理”,找到“事件查看器”,點擊“系統”了。
首先得先找他先能工作才行,我先去rtx server與他們的server上面將他的ip-mac做了個映射,他不是動態學習麼,我來靜態指定,不需要他發arp請求mac地址就可以了,命令爲:
“arp -s 192.168.0.148 48.5b.39.35.33.42”
ok,可以工作了,但我的事情還沒有完,我得找出是那臺主機竄改的ip 地址,我先查mac地址爲“00.0c.29.fc.fc.15”的,一看原來是一臺虛擬機的,這個很麻煩,有可能是一臺虛擬機,也有可能是一個僞造的mac地址,但從其他主機沒有反映情況來看,不是arp欺騙的問題,打開Wireshark,直接在filter裏面輸入:“ethernet address eq 00.0c.29.fc.fc.15”
果然那臺主機還在應答arp的request。而從我這裏nbtstat -a 192.168.0.148的結果來看果然還是00.0c.29.fc.fc.15.在抓的packet看來,有一點讓我很懷疑,它竟然充當起dhcp server起來,還給某臺主機分配ip地址(這臺主機是真是存在的,當然嫌疑很大啊)
當然我沒有直接能找到這臺虛擬機,因爲公司的switch都是傻瓜型,我不可能通過mac-address-table而找到這個source接口。如果設備支持查看mac地址表是很容易查到這臺竄改ip的機器。我在這裏虛擬下:
1,switch的三大功能:frame的接受與轉發,防止loop,地址學習。這裏可以用到frame的接受與轉發和地址學習。當switch接收到這臺主機發送packet,會將source mac address與接受到的接口放進mac-address-table裏面的(當然如果是靜態指定肯定就不會學習),然後查看destination mac address,如果mac address table沒有該mac,就執行flood動作,我們很輕易就可以查看到有問題的這個mac是從那個接口接收
2,既然知道從個接口接收的,那就直接shutdown接口
3,讓那個誰來主動找你。
也許有人要問,如果mac地址是僞造不存在的或者經常更換怎麼辦,其實也很簡單,你只要看從那個接口學習來的mac地址是否發生變化就可以,比如說,你一臺主機就一個mac 地址,他那是多個mac對應一個接口,那不是接口不是trunk mode,就是私接了設備,如果沒有私接設備,結果你也應該知道吧
接入層 如果是cisco的話 直接arpa 綁定IP-mac吧 但是 僞裝mac和僞裝發包比較難對付 IP地址衝突最大的問題是如何定位 如果1.採用組策略 禁止私自更改IP 2.接入層交換機mac-IP綁定 3.加域 基本上ip衝突的前提也控制住了
處理arp病毒的操作我想大家都應該有經驗了,在這裏就不再多羅嗦。
簡單總結一下,其主要步驟有兩步:1、運行 tracert –d 某個網址www. 找出作崇的主機IP地址。 2、設置與作崇主機相同的IP,然後造成IP地址衝突,使中毒主機報警然後找到這個主機。