遭到ARP欺骗攻击后的症状

w1767614867

一上班，就有报告说ema il没办法用的，过去一看，是台通过Wi-Fi上网的笔记本，现象是打开Web登录界面速度奇慢无比，因为手头还有别的事情，所以直接打开OE添加了个帐号，说先这样用吧，我那边去找找原因。
接下来就开始有三三两两的说网络不正常的，包括Web浏览、股票行情、视频直播，都出现问题，这下麻烦大了在自己机器上开ping，外部网站、DNS，都不正常，从30ms到丢包，不规律重复出现。
查看已经打开的页面源文件，第一行有一个iframe，访问一个直接数字ip开头的vip.htm页面，但是那个页面打不开，这个应该就是所有网站打开缓慢的原因之一。
打电话给ISP，让他们反向ping回来，过了几分钟，反馈说一切正常，维持在1-2ms之间，ISP嫌疑排除，继续。
询问ISP是否做广告推送，确认没有。
带笔记本到机房，直接接到ForitGate上，一切正常，故障定位在下层交换机。
怀疑arp欺骗(已经碰到过n次了)，笔记本看一下网关，到别的地方看一下，果然不同，确定故障。
到FortiGate的dhcp log里面查找那个问题mac，居然没有，想不通。
先群发bqq消息，通知有问题的人下载antiARP安装，继续查。
找一台有问题的机器，做全c段ip scan，然后arp –a，看到那个问题机器的mac对应的ip。
\问题ipd$，出现登录窗口，看到问题机器名，找到。
将问题机器断网，杀毒，杀木马，搞定。
整个流程是这样：问题机器中木马，开始arp欺骗，其他机器收到arp广播，认为问题机器是网关，于是走这条路，问题机器将http请求开头加上那个iframe，目的是为了流量或者广告或者再传播。
总结一下
现在基础网络，稳定性还是可以的，出现大面积问题，首先怀疑arp欺骗。有条件的，做双向ip-mac绑定，可以解决大部分此类问题。无条件的，建立机器-mac对应表，出现问题之后可以非常迅速的找到问题机器。尽量在每台机器上装杀毒软件和杀木马软件，可以减少不少麻烦。

08-wh

支持，看起来不错呢！

Sty，涛

还是不错的哦，顶了

a136

fireworld

borall

支持中国红客联盟(ihonker.org)

admin1964

ruguoruo

支持中国红客联盟(ihonker.org)

Lucifer

支持，看起来不错呢！

wtsqq123

学习学习技术，加油！