一次ARP病毒排查

XX公司網絡卡斷問題

 

https://www.aliyun.com/product/cas?source=5176.11533457&userCode=kv73ipbs&type=copy

 

 

 

1.  問題現象

2017年XX公司機關網絡出現幾次異常情況，並尋求內外部專家對異常情況進行診斷分析，均未找到原因，具體情況如下：

• 1.XX分公司機關網絡IP地址為10.0.0.1-10.0.0.254，上半年約有15台電腦出現不能上網現象，但是修改IP地址后可正常使用，約三四天后還需再修改IP地址才能正常使用，該現象大約持續2個月左右。
• 2.10月中旬，有一台電腦突然出現斷網現象，經過修改IP地址后可以正常使用，目前再未出現問題。
• 3.9月、11月和12月共有三台電腦正在使用的時候突然斷網，用筆記本電腦測試網線正常，IP地址配置正常，但是不能上網，最后更換網卡后，網絡恢復正常。
• 4. 12月6號上午視頻會期間網絡出現閃斷3次， 12月7號上午視頻會期間網絡出現閃斷1次，下午閃斷1次，12月8號上午視頻會期間網絡出現閃斷2次，斷網時間約在1分鍾之內，然后網絡自行恢復。
• 5.12月10日，業務運作部網絡突然斷開，重啟交換機后，網絡恢復，反復出現三次。
• 6. 9月21日，下午4點公司到分支機構的所有網絡（包含高清監控）全部斷開，持續到下午6點恢復，聯通公司也未找到原因，但是高清視頻監控一直卡頓嚴重，登錄后約5分鍾就會自動掉線，再次登錄總是提示CMS連接失敗，多次嘗試才能登錄成功，並且還會自動掉線，不能回放，服務器能ping通，一直未測試出真正原因。

2.  環境

 

 

 

3.  問題定位及排查

3.1.  定位

arp攻擊，PC主機中病毒

3.2.  排查

3.2.1.   跟蹤arp報數據

在S5756-01跟蹤后發現10.0.0.25的arp請求和發送包較多，列為懷疑對象。

3.2.2.   查看arp表

[CT-01]dis arp all

查看兩次12.29日和1.9日的arp緩存表（見文后附件）

1.9日發現mac為9934-a431-9d00的機器最為可疑，緩存對應了多達43個ip，但不對應0.25的機器。

3.2.3.  PC端

PC機arp -d,arp -a測試

1、在客戶機運行路由跟蹤命令如：tracert -d www.baidu.com，正常情況是路由跟蹤執行后的輸出第一條應該是默認網關地址，由此判定第一跳的那個非網關IP地址的主機就是罪魁禍首。在局域網內隨機找出幾台主機，arp -a發現網關是10.0.0.254，而不是mac為9934-a431-9d00的主機。

2、清除緩存重新獲取時依然會出現大量指向9934-a431-9d00的記錄，初步判定為arp攻擊。

3.2.4.   抓包

3.2.4.1. 配置端口鏡像

 

 

 

 

3.2.4.2. 包數據

【1月9日17-36】和【1月10日11-00】

分析的時候也沒有發現大量異常的數據包，但是看到了一條嫌疑mac的記錄，決定第二天查看10.0.0.53的主機情況。

 

3.2.5.  處理

3.2.5.1. 思路和方法

由於ip地址是靜態的，所以很快找到目的主機，但其ip是10.0.0.162，看看是不是“10.0.0.53”的mac9934-a431-9d00如果是，則與抓包數據對應。

先隨機在局域網主機上arp -a 查看緩存表應該還是大量的mac9934-a431-9d00，

斷開問題主機，arp-d，清除緩存，五到十分鍾再arp -a下，如果不再大面積出現53的mac證明已隔離完畢。

3.2.5.2. 現場

ipconfig查看時發現此主機緩存了大量的ip，而且根據客戶描述靜態輸入其他ip地址時，主機會自動跳轉到10.0.0.162。

拔掉網線，隔離。

3.2.6.  觀察

1、PC機arp -d,arp -a測試后發現不再出現大量arp緩存，也沒有指向9934-a431-9d00的記錄了。

2、聯系視頻會議人員進行連接測試，觀察連通情況。

3、將問題主機低格后重新安裝操作系統，連接到局域網內

4.  視頻監控

4.1.  排查

      根據客戶反映的視頻監控卡頓問題進行排查：

一開始以為也是arp問題，后來PC機無異常后視頻還是卡，所以用自己電腦和網線直連交換機測試，發現沒有任何延遲和卡頓，觀察機櫃環境時，發現網線質量很差，懷疑是網線問題，請分公司換了E5的網線后立竿見影。

4.2.  觀察

1、隨機打開兩台主機科達監控客戶端進行測試

2、ping 10.0.0.240（監控主機）觀察延遲及丟包情況

5.  結束

由於公司人員調整頻繁，無法固定使用ip，為管理方便，故沒有采用核心交換和pc端綁定mac策略。

結束：

1、 核心交換arp表不再出現大量9934-a431-9d00的緩存。

2、 局域arp表不再出現大量9934-a431-9d00的緩存，且上網正常，無異常現象。

3、 視頻監控無卡頓現象，基本無丟包。

4、 視頻會議測試數據為15000-9丟包率，考慮到中間會經過運營商，所以屬於正常。

6.  相關知識

ARP （地址解析協議）

地址解析協議，即ARP（Address Resolution Protocol），是根據IP地址獲取物理地址的一個TCP/IP協議。主機發送信息時將包含目標IP地址的ARP請求廣播到網絡上的所有主機，並接收返回消息，以此確定目標的物理地址；收到返回消息后將該IP地址和物理地址存入本機ARP緩存中並保留一定時間，下次請求時直接查詢ARP緩存以節約資源。地址解析協議是建立在網絡中各個主機互相信任的基礎上的，網絡上的主機可以自主發送ARP應答消息，其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存；由此攻擊者就可以向某一主機發送偽ARP應答報文，使其發送的信息無法到達預期的主機或到達錯誤的主機，這就構成了一個ARP欺騙。ARP命令可用於查詢本機ARP緩存中IP地址和MAC地址的對應關系、添加或刪除靜態對應關系等。相關協議有RARP、代理ARP。NDP用於在IPv6中代替地址解析協議。