2024年5月25日发(作者:)

网络排错之ARP攻击

网络出现问题

2007年5月14日,宁波某高校王老师反馈核心设备CPU利用率高达100%,全校

上网速度极慢。

经过初步排查,是其建工学院网络出现问题,拔掉网线后,核心设备CPU利用率稳定

在7%左右,全校上网恢复正常。

排错过程

经过抓包分析,IP地址为192.168.1.1的机器发出大量的ARP请求数据包造成核心设

备瘫痪。(ARP请求数据包为CPU处理,大量的ARP请求会造成核心设备CPU应接不暇)

从分析中,可以得知0019E0B7077A和0019E0B70F50的机器发送的大量ARP请求

是造成此次网络危害的根源!

怀疑网络中存在ARP泛洪攻击(虚假IP+虚假MAC)。

经过端口定位,发现某办公室端口下存在该攻击。拔掉该办公室的所有电脑后,该攻

击依然存在。问题在哪里!?不经意间,目光落在了连接该办公室电脑的TP-LINK无线宽

带路由器。难道是有人通过无线接入后,发动攻击?将该设备无线功能关闭后,问题依然

存在。头晕了。拔掉该设备的进线后(连接到楼层交换机的线缆),问题突然消失。窃喜。

插回后,问题出现。反复试验后,最终定位问题为该TP-LINK无线宽带路由器。

呵呵,发现了ARP攻击器!

下班了,可以休息一下了。:)

第二天一早,到网络中心实验环境中,插上该设备,期待问题再次出现。可是,我错

了。问题没有出现。疯了。:(