这个问题很奇怪,至少对我来说是这样。
我有一台 Windows 2003 专用服务器。思科交换机会不时(大约每三个月)断开此服务器的连接,如下所示:
%PORT_SECURITY-2-PSECURE_VIOLATION:发生安全违规,由端口 FastEthernet0/33 上的 MAC 地址 2020.2020.3c64 引起。
ISP 的支持人员试图让我相信我感染了一些试图进行 mac 欺骗攻击的恶意软件,并且他们的政策是每个端口允许 3 个 mac 地址,当超过此地址限制时就会发生这种情况。
我用三种不同的工具(包括微软的)扫描过,但什么也没发现。我检查了发生这种情况时的 Web 访问日志,甚至没有脚本小子在寻找 phpmyadmin。
可能是某些 Windows 组件在做这样的事情吗?任何(我的意思是任何关于下一步该检查什么的建议)都将不胜感激。
答案1
该消息表明交换机在端口上发现过多不同的以太网源地址。机器尝试在每个物理接口上使用多个以太网地址可能出于多种合法原因。
您的服务器上是否正在运行任何虚拟机(VMware 或类似产品)?这可能会导致合法的多个 MAC。
您是否正在运行任何高可用性软件?某些用于实现弹性的方法依赖于为物理机器分配一个 MAC 地址,并为在机器之间浮动的服务 IP 分配一个 MAC 地址(VRRP 和 HSRP 是两种促进此目的的协议)。
您是否确定没有任何硬件或驱动程序问题?正如 radius 所说,故障的驱动程序或硬件可能会导致此类行为。
您是否从“已知干净的启动”扫描过计算机?可能您感染了恶意软件,这些恶意软件足够聪明,可以躲过扫描工具的扫描,但从已知良好的主机(或干净启动、非只读媒体)检查磁盘可能会绕过用于隐藏的方法。
答案2
你使用哪种网卡?使用哪种驱动程序?我已经看到过这种问题(但不是在 Windows 上),由于驱动程序问题,以太网卡上的缓冲区已满,并且卡发送的数据包包含错误信息(包括源 mac 地址)
答案3
尝试使用 Microsoft Network Monitor(免费)并应用规则 - “not UDP.Adress =”。您将看到谁发送了格式错误的帧。
答案4
如果可能的话,在该服务器上运行协议分析器,例如Wireshark
这至少可以让你了解多余的 MAC 地址来自哪里。
如果它确实来自您的服务器,那么您可能需要进一步检查。该 MAC 地址似乎根本不有效,并且您可能有一个进程发送了不应该发送的帧。
我还将验证您与提供商交换机的物理连接没有经过任何可能将帧注入错误端口的中间交换机。