我们有一个大约100台笔记本电脑/台式机和大约20台服务器的小型networking(听起来过于夸张,但是这些服务器也为我们所有的外部承包商提供服务),最近我们注意到我们的Exchange CAS服务器已被黑客入侵。 黑客安装了VPN服务器,并使用我们的networking再次出去。 我们也注意到,他们安装了恶意软件的数量。 到目前为止,我们已经清理了那台机器,但是现在我们又遇到了ARP攻击的问题。
对子网中的所有IP都有一个不间断的连续arp请求,几乎每分钟我们的Juniper防火墙(网关)MAC都将被交换到我们的Juniper VPN设备,因此,由于Barracuda防火墙使得Internet工作人员无法访问Internet错误的框要路由stream量。
最后,在我的networking中有一个不间断的ARP请求/答复到0.0.0.0和一个没有的MAC地址。
我们使用Cisco 2800路由器作为互联网,我们所有的内部交换机都是HP Procurve,而我们在networking中运行Windows和Linux服务器。 另外,我们所有的服务器都是虚拟化的Vmware Vsphere。
我很远达到我的极限,找出造成这个问题的机器和任何帮助的想法将不胜感激。
– – 编辑 – –
我已经在networking上运行了Wireshark,就像你们build议的那样,我注意到了一个奇怪的模式。 我的Juniper VPN设备的MAC地址被分配到我的Juniper防火墙,因此会切断互联网连接,Wireshark说我的梭子鱼盒是源代码,如下图所示: http://i.stack。 imgur.com/i7T0p.png
运行数据包捕获。
查看捕获中的ARP请求。
识别ARP请求中的源MAC地址。
在交换机的MAC地址表中查找与该MAC地址绑定的交换机端口。
识别连接到该交换机端口的设备。
检查该设备。
假设松散的可能存在根级恶意软件,请抓住已知的笔记本电脑(例如从LiveCD启动的),并将其插入交换机的端口。 启动一些数据包捕获软件 。 拔下电缆(可选小组),直到感兴趣的交通停止。 识别连接到相关电缆的设备。 请注意,如果这是由错误configuration触发的,则可能会有一对设备引起问题,因此如果触发设备上的configuration看起来合适,请对其进行隔离和/或缩小邻域testing,以便消除相互影响的关切。
正确(即非恶意)的ARP请求和回复包含MAC地址,所以你也可以使用这些来肯定地识别所涉及的机器。
最后一点需要注意的是:根据你的交换机的智能程度,你可以通过添加一个静态ARP条目来强制一个特定的MAC地址映射到上面,因此你至less可以在一些情况下跟踪这个问题和平的程度。