S老大,ARP問題

末路狂奔

30號晚上,機房的值班人說我們的出口IP,有ARP攻擊,說有100多個MAC類的話.

我在內網的44臺服務器上看了看,未發(fā)現異常,是不是有不能查出來的病毒呀?有什么辦法能查出來嗎?

就在這個時候,5520防火墻日志里出現了好多這樣的信息.

Apr  1 10:28:26 10.39.10.254 %ASA-4-106023: Deny udp src outside:213.191.128.9/4483 dst inside:202.108.21.126/53 by access-group "101" [0x0, 0x0]

Apr  1 10:28:26 10.39.10.254 %ASA-4-106023: Deny udp src outside:210.82.94.161/57265 dst inside:202.108.21.140/53 by access-group "101" [0x0, 0x0]

好多好多類似的,是不是被攻擊了呢?該如何解決?

kentchoi

出口遭受arp 攻擊，那就從出口路由器查看，是不是有很多 arp 記錄，

如果可以，就將對方網關的 ip 地址 跟 mac 地址進行綁定看看。

看你的情況，是acl 阻斷了從外部到內部進來的數據包，不要大驚小怪。

但是奇怪的是 UDP 53 ，應該是 DNS 請求回應的數據，你從內部服務器看看，能不能正常解析公網的一些域名。

末路狂奔

是我們影響了同段的其他用戶,把我們出口的線拔掉就恢復正常了.
我們的內部網絡沒有受到ARP的影響.

內網解析域名正常.126那臺服務器也沒有對外的網絡連接呀.

ssffzz1

讓他們給你提供一下錯誤的MAC地址表信息，里面應該有發(fā)出攻擊的MAC地址。

末路狂奔

錯誤的MAC地址信息,就是我們防火墻的MAC地址......

ssffzz1

帖拓撲結構看看，這樣說不好，還有防火墻的部署模式（透明還是路由）

末路狂奔

外網-防火墻(路由)-各服務器

ssffzz1

不可能吧，防火墻在路由模式，怎么可能發(fā)出ARP攻擊啊。是不是機房搞錯了，不是ARP攻擊啊。
除非防火墻自身中毒，我僅見過一例垃圾墻中毒的還是X86+WIN2000架構。

看看是不是防火墻開ARP代理了。關掉試試。
另外機房反應的情況我還不太清楚，說是ARP攻擊嗎？證據是什么？

末路狂奔

[ 本帖最后由 末路狂奔 于 2009-4-1 13:55 編輯 ]

ssffzz1

讓他們再查查吧。說ASA會發(fā)出ARP攻擊，是不可能的事情。