我们有一个小型网络,由大约 100 台笔记本电脑/台式机和大约 20 台服务器组成(听起来有点过分,但这些服务器也为我们所有的外部承包商提供服务),我们最近注意到我们的 Exchange CAS 服务器已被黑客入侵。黑客安装了 VPN 服务器,并再次使用我们的网络进行攻击。我们还注意到他们安装了许多恶意软件。到目前为止,我们已经清理了那台机器,但现在我们又遇到了 ARP 攻击的问题。
对子网中的所有 IP 都有不间断的顺序 arp 请求,并且几乎每一分钟我们的 Juniper 防火墙(网关)MAC 都被交换为我们的 Juniper VPN 设备,这导致工作人员无法访问互联网,因为 Barracuda 机箱不是路由流量的错误机箱。
最后,我的网络中出现了对 0.0.0.0 的 ARP 不间断请求/答复和不存在的 MAC 地址。
我们使用 Cisco 2800 路由器连接互联网,所有内部交换机均为 HP Procurve,同时我们在网络中运行 Windows 和 Linux 服务器。此外,我们所有的服务器都是 Vmware Vsphere 虚拟化的。
我目前在识别导致此问题的机器方面已经达到了极限,任何能提供的帮助都将不胜感激。
- - 编辑 - -
此后,我按照你们的建议在网络上运行了 Wireshark,并注意到了一种奇怪的模式。我的 Juniper VPN 设备的 MAC 地址被分配给了我的 Juniper 防火墙,结果切断了 Internet 连接,而且 Wireshark 表示我的 Barracuda 盒子是源,如下图所示: https://i.stack.imgur.com/i7T0p.png
答案1
运行数据包捕获。
查看捕获中的 ARP 请求。
识别 ARP 请求中的源 MAC 地址。
在交换机的 MAC 地址表中查找与该 MAC 地址绑定的交换机端口。
识别连接到该交换机端口的设备。
检查该设备。
答案2
考虑到可能存在 root 级恶意软件,请拿起一台已知良好的笔记本电脑(例如从 LiveCD 启动的笔记本电脑)并将其插入交换机上的端口。启动一些数据包捕获软件. 拔掉电缆(可选择以小组为单位)直到相关流量停止。识别连接到相关电缆的设备。请注意,如果这是由错误配置触发的,则可能是一对设备导致了问题,因此如果触发设备上的配置似乎正确,请单独和/或在较小的邻域中对其进行测试,以消除相互作用问题。
正确的(即非恶意的)ARP 请求和答复包含 MAC 地址,因此您也可以使用这些地址来肯定地识别所涉及的机器。
最后一点:根据您的交换机的智能程度,您可以通过添加静态 ARP 条目来强制特定的 MAC <->IP 映射,这样您至少可以在某种程度上轻松地追踪这个问题。