【原创】Meet ARP-Cheat again

iamcj

http://www.iamcj.net/blog/2007/06/07/meet-arp-cheat-again/

无奈的又碰到了一次arp欺骗，费了一个小时才搞定，写个流水账存档。

• 一上班，就有报告说email没办法用的，过去一看，是台通过wifi上的笔记本，现象是打开web登陆界面速度奇慢无比，因为手头还有别的事情，所以直接打开oe添加了个帐号，说先这样用吧，我那边去找找原因。
• 接下来就开始有三三两两的说网络不正常的，包括web浏览、股票行情、视频直播，都出现问题，这下麻烦大了。在自己机器上开ping，外部网站、dns，都不正常，从30ms到丢包，不规律重复出现。
• 查看非常缓慢的打开了的网站源代码，第一行有一个iframe，访问一个直接数字ip开头的vip.htm页面，但是那个页面打不开，这个应该就是所有网站打开缓慢的原因之一。
• 打电话给isp，让他们反向ping回来，过了几分钟，反馈说一切ok，维持在1-2ms之间，isp嫌疑排除，继续。
• 询问isp是否做广告推送（因为3），确认没有。
• 带笔记本到机房，直接接到ForitGate上，一切ok，故障定位在下层交换机。
• 怀疑arp欺骗（已经碰到过n次了），笔记本看一下网关，到别的地方看一下，果然不同，确定故障。
• 到FortiGate的dhcp log里面查找那个问题mac，居然没有，想不通。
• 先群发bqq消息，通知有问题的人下载antiARP安装，继续查。
• 找一台有问题的机器，做全c段ip scan，然后arp –a，看到那个问题机器的mac对应的ip。
• \\问题ip\d$，出现登录窗口，看到问题机器名，找到。
• 将问题机器断网，杀毒，杀木马（有空的话再写个文章说，也比较有代表性），搞定。

整个流程是这样：问题机器中木马，开始arp欺骗，其他机器收到arp广播，认为问题机器是网关，于是走这条路，问题机器将http请求开头加上那个iframe，目的是为了流量或者广告或者再传播。
总结一下：

• 现在基础网络，稳定性还是可以的，出现大面积问题，首先怀疑arp欺骗。
• 有条件的，做双向ip-mac绑定，可以解决大部分此类问题。
• 无条件的，建立机器-mac对应表，出现问题之后可以非常迅速的找到问题机器。
• 尽量在每台机器上装杀毒软件（推荐kav和nod32）和杀木马软件（推荐avg和360safe），可以减少不少麻烦。

zmq

学习学习，呵呵曾经碰到过类似问题