找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 5319|回复: 0

木马问题解决方案

[复制链接]
发表于 2008-9-10 16:23:49 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
最近一个刚完工的一个单位在向我们反应遇到一个奇怪的问题,说是一个VLAN机经常会出现一些机子不能上网的情况,但不一定是哪台机子,有时候是这台,有时候是其它的一台,但都在一个VLAN内,而且反应,在PING网关的时候,用VLAN的IP做的网关,经常会在PING到将近20包的时候会丢一个数据包。网络的情况是核心层用6509的交换机连到3750上,3750下连十二台的3548做了CLUSTER。出问题的VLAN是在集群下的一台机子,经过我们分析,最有可能的是此VLAN的某台机子中了木马,木马的类型是属于ARP期骗,简单的说就是当你的机子发送一个数据包的时候,在同VLAN下的其它的机子获得了你的包,你的数据包将经过这个机子,然后再发送到网关,数据包返回的时候也是如此,而这台机子因为产生了一个假的网关,它又持续不断的攻击VLAN的其它的机子,就造成了这种情况。

解决的过程如下

1。在中心交换机上term moni

然后再debug arp

这样就会反应看出哪台机子的MAC地址做了假的网关。

2。寻找这台机子的网口。

3。show mac-address-table address 0000.0000.0000假如此为它的MAC地址。可以看到这个MAC的对应的接口。顺着这个接口查到二层的汇集

4。在3750上。show mac-address-table address 0000.0000.0000

这时可以看到是这个3750的交机上对应的接口。

5。sh cluester numbers

查看对应的接口的交换机。假如编号为6

6。rc 4

登录到那台交机上,sh cdp | include 0000.0000.0000

这样就可以看到那台机子的IP和对应的接口号。当然其中的一些步骤可以省,也可以有更方便的方法,但这个是个查找的基本方法,其它的也可以通用。                   转自:迪林客之家
routeros
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-21 21:12 , Processed in 0.080617 second(s), 6 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表