科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道华为交换机ARP病毒处理方法

华为交换机ARP病毒处理方法

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

如果网络里出现上叙故障现状,很有可能是有电脑中ARP病毒。具体查杀办法如下:

作者:论坛整理 来源:zdnet网络安全 2008年1月4日

关键字: 攻击防范 交换机 病毒 ARP

  • 评论
  • 分享微博
  • 分享邮件

一、ARP病毒的表现形式:

1、  通过网段部分甚至所有电脑都不能上网;
2、  打开网页出现乱码;
3、  打开网页提示有病毒;

二、拓扑图:

三、ARP病毒的查找方法:

如果网络里出现上叙故障现状,很有可能是有电脑中ARP病毒。具体查杀办法如下:
1、    先确定故障网段的VLAN 、网关和IP地址等信息;
2、    登陆网关交换机(一定要网关交换机,不然是没有ARP表。)
3、    通过dis log命令查看日志,如果有病毒一般会有告警(但是也未必所有的都有)。如果出现以下日志:
%Dec 10 13:06:18 2007 Huawei8508_1 ARP/4/DUPIFIP:Slot=4;Duplicate address 10.110.70.126 on VLAN909, sourced by 0016-ec71-9996
%Dec 10 13:05:17 2007 Huawei8508_1 ARP/4/DUPIFIP:Slot=4;Duplicate address 10.110.70.126 on VLAN909, sourced by 0016-ec71-9996
以上日志表示:VLAN 909网段,MAC地址为0016-ec71-9996的电脑中ARP病毒。
4、    如果日志里没有信息显示信息,就需要查看交换机的ARP地址表。通过dis arp | in VLAN,如dis arp | in 909。就会出现如下信息:
注意:所有IP地址对应的MAC地址都是一样的,是不正常的。正常的ARP表应该是不同IP地址对应不同MAC地址。
< Huawei8508_1>dis arp | in 909
            Type: S-Static   D-Dynamic
IP Address       MAC Address     VLAN ID  Port Name              Aging Type
10.110.64.168    0016-ec71-9996  909      GigabitEthernet4/1/5   13    D    CunVPN
10.110.64.200    0016-ec71-9996  909      GigabitEthernet4/1/5   14    D    CunVPN
10.110.70.60     0016-ec71-9996  909      GigabitEthernet4/1/5   15    D    CunVPN
10.110.70.17     0016-ec71-9996  909      GigabitEthernet4/1/5   16    D    CunVPN
10.110.64.236    0016-ec71-9996  909      GigabitEthernet4/1/5   16    D    CunVPN
10.110.70.18     0016-ec71-9996  909      GigabitEthernet4/1/5   16    D    CunVPN
10.110.70.20     0016-ec71-9996  909      GigabitEthernet4/1/5   17    D    CunVPN
10.110.64.221    0016-ec71-9996  909      GigabitEthernet4/1/5   18    D    CunVPN
10.110.64.231    0016-ec71-9996  909      GigabitEthernet4/1/5   19    D    CunVPN
10.110.64.225    0016-ec71-9996  909      GigabitEthernet4/1/5   20    D    CunVPN
10.110.64.160    0016-ec71-9996  909      GigabitEthernet4/1/5   20    D    CunVPN
以上信息表示:VLAN 909网段,MAC地址为0016-ec71-9996的电脑中ARP病毒。
 
5、    用以上两种方法可以轻松的判断哪个MAC地址中毒,但是无法确定IP地址。要想确定IP地址是多少比较困难。需要依赖E盾等软件和日常的IPMAC记录表等工具来判断。
6、    如果以上工具都没有的话,就只能先登陆到相应的二层交换机(一定要注意,是二层接入交换机)。通过查看MAC地址和端口的对应表,以此来判断是哪个端口。具体方法如下:
< Huawei3900_1>dis mac-address 0016-ec71-9996
MAC ADDR        VLAN ID    STATE            PORT INDEX             AGING TIME(s)
0016-ec71-9996   909       Learned          GigabitEthernet1/0/5    AGING
由以上信息可以判断出0016-ec71-9996这台电脑是接在3900交换机的GigabitEthernet1/0/5口。
7、    为了暂时恢复网络,可以先关闭交换机的GigabitEthernet1/0/5口。如下:
< Huawei3900_1>sys
System View: return to User View with Ctrl+Z.
[Huawei3900_1]int g 4/1/5
 [Huawei3900_1-GigabitEthernet4/1/5]shutdown
8、    再登陆到网关交换机,把相应VLAN重新启动以下,如下:
[Huawei8508_1]int Vlan-interface 909
 [Huawei8508_1-Vlan-interface909]shutdown
[Huawei8508_1-Vlan-interface909]undo shutdown
 
9、   这样就可以恢复网络的正常运行,至于那个中毒的机器的处理。需要用户自己处理。建议直接重装系统,并马上安装补丁、杀毒软件、360安全卫士、E盾等工具。避免重复中毒。这个非常重要,因为重复中毒的可能性非常大。
 
ARP病毒是个社会难题,目前可以说没有一个厂家可以完全防护ARP病毒。特别是对于大的网络,防护ARP病毒基本成为不可能。正是由于这个特点,所以现在ARP病毒越来越疯狂,基本所有病毒都附带了这个功能,把ARP欺骗当成病毒的必需品。要想防住ARP病毒,还需要所有IT人士共同努力啊!!!
    • 评论
    • 分享微博
    • 分享邮件
    VIP专区
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章

    业界热点:

    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号 京公网安备 11010802021500号