在交换机上查找ARP攻击的机器

 如何在交换机上查找ARP攻击的机器

 
序章：交换机端口命名规则

 

1、中心的7608：Ethernet 3/3 （或在系统中缩写为E3/3）表示交换机上左起第三个插槽的第三个端口

2、其他类似55/39系列交换机：Ethernet0/0/23（或在系统中缩写为E0/0/23），第一个0为交换机的ID，按照交换机堆叠后的顺序依次类推0、1、2，如果没有堆叠，此处为0；第二个0为本交换机的插槽位，按照3926s为例，前24个口为0，第一个模块插槽为1，第二个为2；第三个位置的23表明是第23口。举例说明：如果是一台3926s的第一个插槽的光纤口，在交换机上标为E0/1/1，如果是交换机的第18个双绞线口，在交换机上标为E0/0/18

 

第一部分：ARP攻击机器的发现

 

1、在核心交换机上

进入DCRS-7608 #号模式后

输入show arp 后会出现一些IP地址跟MAC地址的映射，如下

 

DCRS-7608#sh arp

Total arp items: 88, the matched: 88, InCompleted: 0

Address          Hardware Addr      Interface     Port            Flag

192.168.1.2      00-0e-0c-42-9b-e1  Vlan10        Ethernet3/6     Dynamic

192.168.1.3      00-0e-0c-42-9c-60  Vlan10        Ethernet3/7     Dynamic

192.168.1.8      00-20-ed-9c-e1-24  Vlan10        Ethernet3/5     Dynamic

192.168.1.9      00-0e-0c-42-a0-16  Vlan10        Ethernet3/3     Dynamic

192.168.1.11     00-13-d3-5a-4a-3e  Vlan10        Ethernet1/1     Dynamic

192.168.1.12     00-14-2a-4f-d6-55  Vlan10        Ethernet1/1     Dynamic

192.168.1.19     00-11-5b-4c-c9-a5  Vlan10        Ethernet1/1     Dynamic

192.168.1.20     00-11-11-0f-67-d7  Vlan10        Ethernet1/1     Dynamic

192.168.1.22     00-14-2a-5e-33-c2  Vlan10        Ethernet1/1     Dynamic

192.168.1.29     00-13-d3-8c-60-ed  Vlan10        Ethernet1/1     Dynamic

192.168.1.30     00-13-d3-8c-61-f7  Vlan10        Ethernet1/1     Dynamic

192.168.1.36     00-13-d3-8c-ef-6e  Vlan10        Ethernet1/1     Dynamic

192.168.1.37     00-13-d3-8c-ef-6e  Vlan10        Ethernet1/1     Dynamic

192.168.1.38     00-13-d3-8c-ef-6e  Vlan10        Ethernet1/1     Dynamic

 

 

如果网络中存在有ARP攻击的机器，会发现在同一个IP地址段里的机器，很多台对应一个MAC地址，如上橙色字所示，他们所连接的下联设备在核心交换机的第E1/1口，如上蓝色所示

2、顺藤摸瓜，类推到下联的一台交换机，比如说5512GC或是3926s，在交换机上输入show mac-address-table address 00-13-d3-8c-ef-6e

 

Read mac address table....

Vlan Mac Address                 Type    Creator   Ports

---- --------------------------- ------- -------------------------------------

10   00-13-d3-8c-ef-6e           DYNAMIC Hardware Ethernet0/0/2

 

假使该交换机下直接联的PC，输入此命令后将直接显示PC所连端口，如红色所示，如果该端口下联的为神州数码的交换机，将重复上述2所述直道找到PC为止。

 

 

第二部分：在交换机上屏蔽端口

 

方法很简单：

进入交换机的switch#模式

输入config t

输入interface E0/0/3 （此处为举例，按照实际情况输入不同的端口号）

输入shutdown，该端口关闭。

 

注意：该设置保存在交换机的运行配置中，如重起，交换机恢复原未关闭端口时状态

 

 

第三部分：在交换机上通过ACL阻断攻击

 

通过39系列交换机上的ACL实现：

 

1、access-list 1101 deny an an untagged-eth2 12 2 0806 28 4 02020242

这里的02020242是网关IP的16进制表示，将此ACL绑定到所有下行端口即可阻止下面的PC发送原IP是2.2.2.64的arp包（不管是request还是reply）

 

注：命令中： 12-跳过12字节/ 2-检查2个字节/0806-这两字节的内容 就是arp喽/28-跳过28字节/4-检查四个字节/ 02020242-四个字节的内容对应ip2.2.2.64/

2、另外在3926S/3950S的新版本中，还增加了config模式下的access-group {IP-ACL|MAC-ACL|MAC-IP-ACL}{<access-list-number>|<name>} {in|out} [traffic-statistic] interface [ethernet] <Interfacename>}命令，他在ACL绑定到多个端口时提供优化策略，以减少对硬件资源的消耗，推荐使用此命令进行绑定。具体用法参照最新的手册

 

注： 这样配置和端口下配置是有区别的，连续的8个端口都有相同配置的话会节省硬件资源，占用rule少。

 

en

conf

access-list 1101 deny an an untagged-eth2 12 2 0806 28 4 828C46C5

intface e 0/0/1-24

ip acc 1101 in

exit

exit

wr