故障現象
1、dns無法解析公司內部**
2、部分同事ping內網位址不通
故障回顧
早上發現內網監控站點打不開報錯「無法解析的網域名稱」其他站點訪問正常,禁用網絡卡後啟用恢復正常。
上午有許多同事反應dns解析有問題檢視dns配置正常懷疑網路中有arp欺騙
故障排查
使用掃瞄工具檢視內網mac位址情況發現大量ip對應同乙個mac
再檢視自己的arp表發現問題相同
此時可以確定網路中存在arp欺騙
查詢故障源
使用wireshark抓包,並過濾arp協議
發現cisco-li這台機器傳送了大量的arp廣播包,此時基本確定arp病毒源為它;
考慮到它是乙個翻牆的小型翻牆路由器所以做了以下測試
1、清掉自己的arp表並檢視現在arp情況
2、開啟wireshark開始抓包
3、隨便ping某個ip我這裡ping 192.168.31.44,不通正常此ip就不存在
4、此時停掉wireshark並過濾出arp協議的包
解析:1405號包為我本機傳送的廣播包(我主機ip:192.168.31.20 mac:38:2c:4a:b5:c0:a1),去問誰是31.44告訴我
1430號包為目標機應答的包(這個ip是不存在的有包返回本身就是問題),這個包向我傳送的資訊從下面可以看出,他告訴我它是31.44的主機它的mac位址為48:f8:b3:a0:06:43
所以斷定arp欺騙的源頭就是它,此時關掉它再次檢視arp表
可以發現此時的arp表恢復正常
對一次ARP欺騙分析
一 實驗目的 二 實驗內容 通過科來資料報生成器在a主機上偽造乙個arp資料報,並傳送出去,將b主機的閘道器mac位址的快取修改為a的mac位址。三 實驗用到的工具 wireshark 科來資料報生成器 若是在win7 8上還需要科來資料報 器來發包 科來資料報生成器在win7 8上無法使用發包功能...
對一次ARP欺騙分析
一次arp欺騙 一 實驗目的 學習使用科來資料報生成器構造乙個資料報 通過一次arp實驗,分析arp報文格式 二 實驗內容 通過科來資料報生成器在a主機上偽造乙個arp資料報,並傳送出去,將b主機的閘道器mac位址的快取修改為a的mac位址。三 實驗用到的工具 四 實驗平台 本次實驗我是在虛擬機器裡...
c 記一次實驗室區域網的ARP欺騙
起因 某天中午午睡時,筆者被激烈的鍵盤和滑鼠聲音吵醒,發現實驗室的同學在那邊忘我地打lol,頓覺不爽,於是決定整他一下。想了一下之後覺得就讓他掉線一下作為懲罰好了。結合以往的理論知識,大家在同乙個區域網中,用arp欺騙顯然是乙個好辦法,於是就有了本文接下來的故事。arp欺騙理論 首先先來整理一下關於...