S老大,ARP问题

末路狂奔

30号晚上,机房的值班人说我们的出口IP,有ARP攻击,说有100多个MAC类的话.\r\n\r\n我在内网的44台服务器上看了看,未发现异常,是不是有不能查出来的病毒呀?有什么办法能查出来吗?\r\n\r\n就在这个时候,5520防火墙日志里出现了好多这样的信息.\r\n\r\nApr  1 10:28:26 10.39.10.254 %ASA-4-106023: Deny udp src outside:213.191.128.9/4483 dst inside:202.108.21.126/53 by access-group \"101\" [0x0, 0x0] \r\n\r\nApr  1 10:28:26 10.39.10.254 %ASA-4-106023: Deny udp src outside:210.82.94.161/57265 dst inside:202.108.21.140/53 by access-group \"101\" [0x0, 0x0]\r\n\r\n好多好多类似的,是不是被攻击了呢?该如何解决?

末路狂奔

\n\n[ 本帖最后由 末路狂奔 于 2009-4-1 13:55 编辑 ]

ssffzz1

不可能吧，防火墙在路由模式，怎么可能发出ARP攻击啊。是不是机房搞错了，不是ARP攻击啊。\r\n除非防火墙自身中毒，我仅见过一例垃圾墙中毒的还是X86+WIN2000架构。\r\n\r\n看看是不是防火墙开ARP代理了。关掉试试。\r\n另外机房反应的情况我还不太清楚，说是ARP攻击吗？证据是什么？

末路狂奔

外网-防火墙(路由)-各服务器

ssffzz1

帖拓扑结构看看，这样说不好，还有防火墙的部署模式（透明还是路由）

末路狂奔

错误的MAC地址信息,就是我们防火墙的MAC地址......

ssffzz1

让他们给你提供一下错误的MAC地址表信息，里面应该有发出攻击的MAC地址。

末路狂奔

是我们影响了同段的其他用户,把我们出口的线拔掉就恢复正常了.\r\n我们的内部网络没有受到ARP的影响.\r\n\r\n内网解析域名正常.126那台服务器也没有对外的网络连接呀.

kentchoi

出口遭受arp 攻击，那就从出口路由器查看，是不是有很多 arp 记录，\r\n\r\n如果可以，就将对方网关的 ip 地址 跟 mac 地址进行绑定看看。\r\n\r\n看你的情况，是acl 阻断了从外部到内部进来的数据包，不要大惊小怪。\r\n\r\n但是奇怪的是 UDP 53 ，应该是 DNS 请求回应的数据，你从内部服务器看看，能不能正常解析公网的一些域名。

easthh

机房的人的话也不靠谱。我倒觉得是同个外网网段的机器在ARP攻击你的防火墙导致它整个网段不能正常工作。比如你的防火墙的outside有固定的ip和mac，但是如果另外一个主机不断发出arp的更新请求，用的是你防火墙的ip，mac随机，那么同网段的机器就要不断的更新arp列表。这种情况下关掉你的防火墙的确可以解决问题，但是出问题的主机并不是你的防火墙。\r\n\r\n让机房的人提供详细的故障分析报告和原始的纪录日志，仅凭mac地址以及关掉你的防火墙就解决问题并不能说明你的防火墙有问题。说asa发病毒，说不过去。