怎么处理ARP攻击

ARP故障说明:

ping 的时候可能好久才能接收到一个响应,或者说干脆就Ping不通。网络时好时坏,通过ARP -a命令不能看到同网段的在线用户,但是net view 可以看到全网开放共享的电脑名,这时候就需要注意了,可能是ARP攻击。

有些人觉得,通过arp -a可以查出是否有ARP攻击,但是有时候无法看到arp列表存在异常IP,或者使用ARP防火墙,360防火墙、金山贝壳防火墙,防御个鬼,根本检测ARP攻击好吧。说实话,深信服以及飞塔防火墙都没有检测到ARP攻击,因为这个是公司线路接入的问题,不重要。

先准备arp检测工具:

链接:https://pan.baidu.com/s/1fIeguW94w_FFEWGJYQrBgQ 
提取码:4tzn 

--------------------

下载好工具按照步骤打开,如果有ARP病毒的话会马上检测出被攻击。

怎么处理ARP攻击_第1张图片
既然已经确定ARP病毒了,那我们就开始解决。

我公司接入方式:光纤信号源-防火墙-深信服行为管理-H3C三层交换机

紧急的解决方法有两种:一种是防御,一种是找源头。

防御:就是在三层交换机上设置策略,通过MAC或者IP进行阻断或者只允许绑定的MAC通讯。--这个我就不讲了,提到就坑爹

源头:拔网线,或者封LAN口,我是一根根拔掉不同片区的信号源,一步步缩小范围,进行排故。

ABC三栋厂房分别有三根光纤

拔掉其中一根,接着重启工具检测,如果没问题说明ARP攻击不在本栋,接着下一根,检测,直到发现其中一根存在ARP攻击。

确定了其中一条光纤后,进一步来到光纤的另一端,分别拔掉

机房端发现了,现在需要去光纤对应的另一端。(线路凌乱,惨不忍睹)

把交换机的所有在线线路分两批拔掉,第一批如果没问题,那就是第二批里面的其中一根,道理很好理解往复几次就查到了。

最后,发现了,192.168.1.103这个来源,就是这台笔记本,拔掉笔记本的网线全部OK。

怎么处理ARP攻击_第2张图片

 

后续屁话吐槽:

很多人肯定会想,这年头还有ARP攻击?

我来到一个新公司,才几天就出现了ARP攻击,我运维也五年多了,第一次遇到,说到底是原先的IT运维没有做好前期工作,不去绑定MAC白名单,而我刚来,什么都不肯交接给我,哪条光纤线路对哪栋厂房都不肯说,所以别提进入三层交换机去设置任何参数了。

因为不配合,原IT运维用他自己的方法去各种尝试解决ARP攻击,导致三四天公司几百号人的网络一天到晚断断续续的,同事都觉得因为我来了把网络整的那么差,实际上我来入职的当天,原IT刚好放了那台有ARP病毒的笔记本给其他同事用,导致我刚来就遇到ARP病毒,好吧,这个锅,我背了,今天才试用期不到半个月就被辞退,简直就是人生中的一大耻辱。

你可能感兴趣的:(怎么处理ARP攻击)