木马问题解决方案

峰回路转

最近一个刚完工的一个单位在向我们反应遇到一个奇怪的问题，说是一个VLAN机经常会出现一些机子不能上网的情况，但不一定是哪台机子，有时候是这台，有时候是其它的一台，但都在一个VLAN内，而且反应，在PING网关的时候，用VLAN的IP做的网关，经常会在PING到将近20包的时候会丢一个数据包。网络的情况是核心层用6509的交换机连到3750上，3750下连十二台的3548做了CLUSTER。出问题的VLAN是在集群下的一台机子，经过我们分析，最有可能的是此VLAN的某台机子中了木马，木马的类型是属于ARP期骗，简单的说就是当你的机子发送一个数据包的时候，在同VLAN下的其它的机子获得了你的包，你的数据包将经过这个机子，然后再发送到网关，数据包返回的时候也是如此，而这台机子因为产生了一个假的网关，它又持续不断的攻击VLAN的其它的机子，就造成了这种情况。

解决的过程如下

1。在中心交换机上term moni

然后再debug arp

这样就会反应看出哪台机子的MAC地址做了假的网关。

2。寻找这台机子的网口。

3。show mac-address-table address 0000.0000.0000假如此为它的MAC地址。可以看到这个MAC的对应的接口。顺着这个接口查到二层的汇集

4。在3750上。show mac-address-table address 0000.0000.0000

这时可以看到是这个3750的交机上对应的接口。

5。sh cluester numbers

查看对应的接口的交换机。假如编号为6

6。rc 4

登录到那台交机上，sh cdp | include 0000.0000.0000

这样就可以看到那台机子的IP和对应的接口号。当然其中的一些步骤可以省，也可以有更方便的方法，但这个是个查找的基本方法，其它的也可以通用。　　　　　　　　　　　　　　　　　　　转自：迪林客之家