ARP 地址攻擊查找流程

　　1、如果客戶端PC與網(wǎng)關無法通訊，首先在客戶端ping 網(wǎng)關地址后，然后在dos窗口下執(zhí)行 arp –a 查看網(wǎng)關的mac地址，記錄下網(wǎng)關MAC地址。到交換機上查找交換機的MAC地址(例如VLAN1接口)

　　執(zhí)行 show int vlan 1 查看輸出信息中VLAN1接口MAC，同時執(zhí)行 show standby vlan 1 查看HSRP網(wǎng)關MAC地址。如果客戶端顯示的mac(假設為00-0d-0a-ac-bc-78)地址與網(wǎng)關地址不同，則可能是網(wǎng)關的MAC遭到ARP病毒攻擊。到交換機上執(zhí)行show mac-address | in 000d.0aac.bc78 在輸入信息中查找關聯(lián)該MAC地址的端口，如果該端口是直連PC或者SERVER的端口，那么該端口所連客戶端可能感染ARP類病毒。如果該端口連接的是另外一臺交換機，那么登陸到那臺交換機上執(zhí)行show mac-address | in 000d.0aac.bc78 直到關聯(lián)端口是直連PC的端口位置。

　　2、如果客戶端PC能夠PING 通網(wǎng)關但是與其他VLAN的機器PING(假設該地址為192.168.1.111)不通。首先在客戶端ping 192.168.1.111后，然后在dos窗口下執(zhí)行 arp –a 查看對方IP地址對應的mac地址，記錄下其MAC地址(有可能沒有信息)，同時在目標機器192.168.1.111上執(zhí)行 ipconfig/all查看該機器網(wǎng)卡mac地址并記錄下(注意：交換機上顯示的MAC地址和PC上顯示的MAC地址格式不一樣，交換機上為4個16進制數(shù)一組并以“.”分割，PC機上為2個16進制數(shù)為一組以”-”分割)。在dos窗口下執(zhí)行 tracert –d 192.168.1.111。查看tracert信息最后一跳到達哪臺交換機。登陸到那臺交換機上執(zhí)行PING 192.168.1.111，然后執(zhí)行 show arp | in 192.168.1.111 查看輸出信息的mac地址與目標機器(192.168.1.111)的mac地址是否相同。如果不同(假設顯示為 000a.da87.5bca)，記錄下后執(zhí)行 show mac-address | in 000a.da87.5bca 在輸出信息查看該MAC地址關聯(lián)到哪個端口，如果關聯(lián)的端口連接到另外一臺交換機上則到那臺交換機上執(zhí)行show mac-address | in 000a.da87.5bca，最終找到關聯(lián)端口連接是最終客戶端(PC或者server)的端口，如果該端口不是真正連接192.168.1.111的端口通常該端口既是感染ARP類病毒的機器。在交換機上執(zhí)行 show arp | in 000a.da87.5bca 輸入信息通常會顯示該MAC會關聯(lián)多個IP地址。

　　流量攻擊型病毒的查找流程

　　如果局域網(wǎng)中通訊不正常、丟包嚴重，登陸到網(wǎng)關上也會延遲很大，通常是局域網(wǎng)中有機器感染了流量攻擊型病毒，該類病毒會發(fā)送大量的小字節(jié)數(shù)據(jù)包消耗網(wǎng)絡中交換機、路由器的帶寬和處理能力。查找該類病毒也是通過流量判斷攻擊來源。在核心交換機上執(zhí)行clear count 清除當前各個接口上的流量信息，20秒鐘后執(zhí)行show interface 查看各個接口上的流量(數(shù)據(jù)包的數(shù)量、總字節(jié)數(shù))通常會有一個或幾個端口的數(shù)據(jù)包的數(shù)量相當夸張，但是總字節(jié)數(shù)不一定很多。如果這個端口直連PC那么暫時拔下該端口網(wǎng)線查看網(wǎng)絡是否回復正常。如果該端口是連接另外一臺交換機那么登陸到那臺交換機上依次操作，先清空各個端口的統(tǒng)計數(shù)字，20秒鐘后檢查接口流量。直到找到直連PC而且流量相當大的機器。