假冒他人MAC地址和IP地址进行ARP请求进行网络攻击的故障定位
现象描述
采某组网用S8016做为城域网汇聚设备,eth11/0/0连接一个LSW下带办公局域网,eth11/0/1到eth11/0/3直接接了几台PC终端做为维护终端,其中eth11/0/0到eth11/0/3都在VLAN 12。用户反映维护终端上网时断时续。
告警信息
远程登陆设备,用display dev,display interface,display alarm,display log查看,并没有发现什么异常的情况。但查看S8016的arp表项时,发现一些情况。
原因分析
在维护终端能够上网时,display arp vlan 12发现:
10.1.8.6 0008.74e6.9fa7 Dynamic Ethernet11/0/3
10.1.8.7 000b.db9f.1694 Dynamic Ethernet11/0/1
10.1.8.4 0010.5cba.7427 Dynamic Ethernet11/0/2
在发生故障时,display arp vlan 12发现:
10.1.8.7 000b.db9f.1694 Dynamic Ethernet11/0/0
10.1.8.8 000b.db9f.1694 Dynamic Ethernet11/0/0
10.1.8.4 0010.5cba.7427 Dynamic Ethernet11/0/0
10.1.8.5 000b.db9f.1694 Dynamic Ethernet11/0/0
从以上信息看,好像10.1.8.4和10.1.8.7这几个用户全都学习到eth11/0/0下面了。经了解而eth11/0/0带的是远端一个办公局域网,不会出现瞬间把PC换过去的可能。
处理过程
1、从以上信息看,是由于ARP表项迁移导致出现上述故障。
2、是什么原因导致S8016从ETH11/0/0学习到原本在ETH11/0/1,ETH11/0/2,ETH11/0/2下面用户的MAC地址,IP地址呢?有一种可能是从eth11/0/0下面发出的ARP请求的报文中源MAC地址、源IP地址,和ETH11/0/1,ETH11/0/2,ETH11/0/2下面的PC机IP地址,MAC地址相同,即eth11/0/0下面有人在假冒ETH11/0/1、ETH11/0/2、ETH11/0/2下面的PC发ARP请求。如果S8016收到假冒的ARP请求后,更新自己的ARP表项,那么以后转发数据报就按照更新后的arp表项进行转发,这是ETH11/0/1、ETH11/0/2、ETH11/0/2下面用户不能上网的原因。
3、为了确定是eth11/0/0下面有人发假的ARP请求报文,把eth11/0/0下面的用户移到eth14/0/15上,也发现维护终端的10.1.8.4这个地址又迁移到eth14/0/15端口上了。这样可以确认是恶意假冒IP和MAC地址导致的。
4、原来11/0/0下面直接接的是交换机,由于11/0/0 to 11/0/3都是在VLAN 12,交换机下面的用户能够学习到11/0/1下面用户的IP地址和MAC地址,如果他用黑客软件,假冒其他用户进行ARP请求的话,就会出现这个问题。
5、将远端办公网和维护终端采用不同的VLAN隔离开,问题解决。
建议与总结
把S8016机房局域网用户的网段与远端局域网的用户网段隔离,在S8016上分属不通的VLAN,这样两个局域网的用户就无法通过ARP报文相互攻击。这种估计方法其实很简单,在同一网段的用户,只要通过一个PING命令,利用抓包软件就
能得到其他用户的MAC地址和IP地址。一般的抓包软件,如NETXRAY,都可以模拟一个用户的MAC,IP来进行arp请求,以使上层的三层设备ARP表项刷新,以此使真正拥有这个IP地址,MAC地址的用户不能上网,达到网络攻击的目的。