2024年3月22日发(作者:)
安全攻略
利用抓包工具分析与解决
因ARP广播风暴导致的网络故障
黄凯华
(江西省抚州市信息中心,江西抚州344000)
摘要:通过实例详细介绍了如何利用抓包软件等网管工具分析和解决因ARP广播风暴导致的网络故障,以保障网络的安全、
稳定运行。
关键词:抓包工具;ARP广播风暴;网络故障
Analysis and Solution for Network Fault by Sniffer
HUANG Kai—hUa
(:uzhou/T en吉er.FUZhOU,J/engxl ̄44000,c 娩1)
Abstract:This jS a case--based paper which details how to use sniffer tool to analyse and solve the network fault that caused by ARP spoof jn
order t0 ensure the network to keep stable.
Key words:Sniffer;AZP spoof;Network Fault
1引言
状况,其流量也很正常。流量没什么异常,为何网络不通,
众所周知,电子政务是政府在其管理和服务职能中 而且是大部分单位的业务都不正常呢?看来这次故障和以
运用现代信息和通信技术,实现政府组织结构和工程 往那些病毒主机大量发包占用网络带宽的情况不同。由于
流程的重组优化,超越时间、空间、和部门分割的制 所有单位的网关都做在核心交换机¥8016上面,于是笔者
约,全方位地向社会提供优质、规范、透明服务的重要
开始怀疑是不是¥8106出了什么问题。当即登录上去,查
手段。它涵盖了政府内部办公和面对公众的信息服务两
看其系统E1志、告警信息以及配置信息等,均未发现什么
大方面,故其安全性显得尤为重要。目前,国内政务网
异常。既然通过流量监控等手段无法查明故障原因,看来
的安全主要存在以下几个方面的风险:一是DoS/DDoS
只有改变策略,配置端口镜像抓包,通过对数据包进行详
攻击、DNS欺骗攻击,会造成服务器服务的中断,影响 细分析进而找出问题所在。而¥8016处于网络接入的核
业务的正常运行;二是内部用户通过Sniffer等嗅探程序, 心层,其接入端口众多,流量也很大,如果对所有端口同
获得系统用户名和口令等关键信息或其他机密数据,进 时进行抓包的话,抓包所用的电脑性能再好也很难快速处
而假冒内部合法身份进行非法登录,窃取内部网重要信
理如此多的数据包。因此,只能对各个端口分别进行抓包。
息;三是内部用户通过扫描软件获取其他用户系统或服
于是,笔者决定先对¥8016下面所接单位受影响最为严重
务器的各种信息,并利用这些信息对整个网络或其他系
的一个端口进行抓包处理。抓包情况如图1、图2所示。
统进行破坏。除此之外,它还时刻面临着来自网络病毒
蛀汁 当苜彗
霉撬 臻鼙戗 字节 鼍羹
等的威胁。因此,作为政务网管理人员需要时刻保持高
拜拣瞎辨 2 C{B-i一
拜螂雕目 i::01:44
持续雕递 0:∞:4:
度警惕,当网络安全受到威胁时能够及时果断出击,保
籍 蠹蕉毪 字节 蠹蔼
麓事节 2 92,≮ :,
障其稳定运行。
息茫赘整雹 : ,∈
厂播意{t 2{÷ ≥’0 — { ,0:
耋播怠汁 l ::{ : ,}
平均哮拥牵酒≈峨 5一∈ ;
平均删璃霉 57,#i ,917 1一:
2网络故障的分析与解决
当前划精攀(百对 £ s{ 3;
当前 甩举白 辩 s{, 04一:2
最竞刹霸事 封 g{“{
2.1网络故障的分析
§★帛 黧1b”} 秘,I{} 4£
笔者作为一名网管人员,每天都会遇到不同的网络故
图1数据包统计情况
IP 蠢蒜琶 掌节 纛篮
障。近El笔者所在政务网就出现大面积断网故障,当天上
-Cp S{fc a ,0 g S
TCP B 《
午相继接到十多个单位电话报告网络异常,上网断断续续,
TCP&S% 29
P&…b :4 ,:§ , ∈ ;?
2—0 § 0 92
基本上处于瘫痪状态。由于笔者以前也遇到过不少类似情
蚺 § 雒 f fe0 24: §40
 ̄.ARF … ¥0 0
况,基本上都是由于某个(些)单位内部爆发病毒,占用
RARP%…; 0
姐 躺☆e e 0
网络带宽,导致网络拥塞,造成正常流量无法传递。所以,
图2 AZP请求及响应情况
笔者在接到报告后,第一反应就是网络爆发病毒了。于是,
从图1软件的统计结果中我们可以看出,在41秒
笔者立即在网管服务器上打开流量监控软件,首先查看核
的时间里,共捕获数据包618648个,其中广播包就有
心交换机¥8016各端口的实时流量,未发现流量异常。紧
249570个。而根据图2的IP协议分析结果,我们不难
接着分别查看了¥8016下面所连的各接入交换机端口的
看出,其中发送的ARP请求的广播包有249156个,占
据广播包总量的99.8%。而核心交换机¥8016响应的
ARP请求只有213个,响应率不足1‰。由此,我们可
以分析得出,网络中存在ARP广播风暴。局域网中肯
定存在一台(或一些)病毒主机,它(们)不断地向核
心交换机¥8016发送ARP广播包,这势必影响¥8016
处理来自客户端正常的ARP请求的效率。当病毒主机
发送的ARP请求在数量和速度上到达¥8016的处理极
限时,它就无法予以响应。一旦客户端发送的ARP广
播请求,得不到及时响应,就不能获得目标主机的正确
MA C地址,也就无法正常访问业务。这也正是为何很
多单位的客户端上网断断续续,甚至根本无法访问网络
的原因。既然知道问题所在,接下来要做的就是分析数
据包的详细信息,找出病毒主机的来源,将其断网杀毒,
故障自然就会得以解决。同时,经过上述分析,我们判
断网络中存在ARP广播风暴,为了快速定位网络病毒来
源,我们可以将ARP广播包过滤出来,结果如图3所示。
# 日 《 .- }g 《日
图5过滤出来的ARP包
从图3我们不难看出,所有的ARP请求基本上都是
来自MAC地址为00:21:27:8C:34:1E的主机。由此可
以断定这台主机一定有问题,它很有可能就是影响整个
网络的“元凶”。经过对部分数据包的进一步分析,它的
IP地址(如图4所示)为192.168.1.1。而网络中根本
不存在这个地址,所以应该是伪装的。
~…t*0 c
、 ~ ’
=
… , 一一 0一
0 一 一2一’:4 =
{ 一
冀 鐾叠 i生!!t
# .
蝴 :
搿 “
协 h 4
j m
;} 。 。 ’
… ““ 一 。
Ic=o量
々 t 、“ ‘t -
} I1 {
yt《
、} 一
s F … e
#. … i ~:
图4数据包解码
2.2 ARP广播风暴的处理
为了能够尽快减小ARP广播风暴对整个政务
网的影响,笔者在¥8016镜像端口下联的二层交换
机¥3026配置了A CL,禁止对来自MA C地址为
()0:2l:27:8C:34:1E的数据包进行转发。命令如下:
[Ouidway]acl number 4000
[Quidway~acl—link一4000]rule 0 deny ingress any
egre ̄00:2l:27:8C:34:1E 0000-0000-0000
安全攻略
[QUidwaY—acl—link-4000】Fule 1 denY lngress
00:2l:27:8C:34:lE 0000—0000—0O00 egress any
蝴蛳 辨㈣ 鼬 瓣赫 鲫鞫瓣鳓 肼鼢瓣栅瓣辫辩
【Quidway]packet-filter link—group 4000 rule 0
[Quidway]packet—f ̄ter link—group 4000 rule 1
与此同时,为了彻底解决病毒对全网的影响,还
需要找出病毒主机的确切位置,即MA C地址为
o0:2l:27:8C:34:lE的主机所在网段。而数据包解码显
示它的IP地址是伪装的,看来要找出它的真实地址还真
需要费一番周折。好在笔者平时有备份IP和MAC的习
惯,通过查找IP—MAC备份记录,发现该MAC地址
来自网段10.33.145.0/24。于是笔者马上与使用此网段
的单位取得联系,告知其局域网存在ARP攻击,希望
尽快找出病毒主机,对其隔离并进行杀毒处理,以免影
响全网的安全稳定运行。鉴于该单位无专门网络管理人
员,笔者也在第一时间赶到现场,以从旁协助。在该单
位网络机房,笔者发现其内部网络很简单,只有一台华
为二层交换机,上行端口通过光电收发器连接至笔者所
在的政务网主机房,其他的端口都为下行口,连接各办
公室的客户端。于是,笔者把疑似病毒主机的MA C及
可能IP告知对方,希望他们能够迅速找出该主机。可惜
他们缺乏专业的技术人员,根本没有相应的IP和MA C
记录。正当笔者准备用笔记本对该单位的接入交换机进
行抓包以找出该主机所来自的端口时,发现有两个端口
指示灯异常。其中一个就是上行口,另 个为连接客户
^ 一;::
发布评论