Chinaunix

标题: S老大,ARP问题 [打印本页]

作者: 末路狂奔 时间: 2009-04-01 10:45
标题: S老大,ARP问题
30号晚上,机房的值班人说我们的出口IP,有ARP攻击,说有100多个MAC类的话.

我在内网的44台服务器上看了看,未发现异常,是不是有不能查出来的病毒呀?有什么办法能查出来吗?

就在这个时候,5520防火墙日志里出现了好多这样的信息.

Apr 1 10:28:26 10.39.10.254 %ASA-4-106023: Deny udp src outside:213.191.128.9/4483 dst inside:202.108.21.126/53 by access-group "101" [0x0, 0x0]

Apr 1 10:28:26 10.39.10.254 %ASA-4-106023: Deny udp src outside:210.82.94.161/57265 dst inside:202.108.21.140/53 by access-group "101" [0x0, 0x0]

好多好多类似的,是不是被攻击了呢?该如何解决?

作者: kentchoi 时间: 2009-04-01 10:57
出口遭受arp 攻击，那就从出口路由器查看，是不是有很多 arp 记录，

如果可以，就将对方网关的 ip 地址跟 mac 地址进行绑定看看。

看你的情况，是acl 阻断了从外部到内部进来的数据包，不要大惊小怪。

但是奇怪的是 UDP 53 ，应该是 DNS 请求回应的数据，你从内部服务器看看，能不能正常解析公网的一些域名。

作者: 末路狂奔 时间: 2009-04-01 11:00
标题: 回复 #2 kentchoi 的帖子
是我们影响了同段的其他用户,把我们出口的线拔掉就恢复正常了.
我们的内部网络没有受到ARP的影响.

内网解析域名正常.126那台服务器也没有对外的网络连接呀.

作者: ssffzz1 时间: 2009-04-01 11:12
让他们给你提供一下错误的MAC地址表信息，里面应该有发出攻击的MAC地址。

作者: 末路狂奔 时间: 2009-04-01 11:30
标题: 回复 #4 ssffzz1 的帖子
错误的MAC地址信息,就是我们防火墙的MAC地址......

作者: ssffzz1 时间: 2009-04-01 11:31
帖拓扑结构看看，这样说不好，还有防火墙的部署模式（透明还是路由）

作者: 末路狂奔 时间: 2009-04-01 11:36
标题: 回复 #6 ssffzz1 的帖子
外网-防火墙(路由)-各服务器

作者: ssffzz1 时间: 2009-04-01 11:40
不可能吧，防火墙在路由模式，怎么可能发出ARP攻击啊。是不是机房搞错了，不是ARP攻击啊。
除非防火墙自身中毒，我仅见过一例垃圾墙中毒的还是X86+WIN2000架构。

看看是不是防火墙开ARP代理了。关掉试试。
另外机房反应的情况我还不太清楚，说是ARP攻击吗？证据是什么？

作者: 末路狂奔 时间: 2009-04-01 12:07
标题: 回复 #8 ssffzz1 的帖子

[ 本帖最后由末路狂奔于 2009-4-1 13:55 编辑 ]

作者: ssffzz1 时间: 2009-04-01 12:57
让他们再查查吧。说ASA会发出ARP攻击，是不可能的事情。

作者: gobbin 时间: 2009-04-01 13:49
有点意思~~~

作者: 末路狂奔 时间: 2009-04-01 14:24
机房值班人员观察中ing......

作者: easthh 时间: 2009-04-02 09:36
机房的人的话也不靠谱。我倒觉得是同个外网网段的机器在ARP攻击你的防火墙导致它整个网段不能正常工作。比如你的防火墙的outside有固定的ip和mac，但是如果另外一个主机不断发出arp的更新请求，用的是你防火墙的ip，mac随机，那么同网段的机器就要不断的更新arp列表。这种情况下关掉你的防火墙的确可以解决问题，但是出问题的主机并不是你的防火墙。

让机房的人提供详细的故障分析报告和原始的纪录日志，仅凭mac地址以及关掉你的防火墙就解决问题并不能说明你的防火墙有问题。说asa发病毒，说不过去。

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)