ARP抓包

内部ARP广播，导致所有接入交换机CPU占用率达70以上，告警通知。然后核心交换机直接飚到99%，其中的ARP input 占用80以上。

严重怀疑ARP攻击

急了，定位发现的时候，以为是在A楼，但是对A楼几层设备挨个断，发现告警会下来，但美国10几分钟，又上去了。怀疑是A楼中某人将同一网线两端同时接入到（交换机、HUB）设备，导致广播风暴。如果是这样，那么对该楼每层设备挨个起BPDUguard：

interface fastethernet 0/*

    switchport access vlan *

    switchport mode acces 

    spanning-treee bpduguard enable

起完对设备查看是否有block端口，第二天上班后，发现全是0，说明不是这个问题。

这里要注意一下BPDU 包的知识点。

然后就是方案2：直接抓包:对A楼一个接入设备 选中端口镜像，然后上联口作为 

方

对两口进行设置完毕，一定要把该口的STP关闭，看包的情况

抓完包，发现有个地址一直ARP广播，排查地址，定位位置是在B楼，且现场排查，该地址/Mac是一台无线路由，下联10几台pc+phone。我们已经把上联的网络端口关闭，一关，接入、核心交换机的CPU占用率就下来了，告警也停止了。

这时对局域网内部进行抓包，查到了内部IP地址，找到对应的pc，是一台老旧的DELL，查杀后，发现许多未修复的高危漏洞。。。。。

通过此事，抓包技能是必须要学会的，并且，抓完包后，拆包对协议进行分析也非常关键！！！引以为戒