求助解决ARP攻击或环路问题

lhy524055487

网络结构，核心-汇聚-接入，所有VLAN网关均起在核心，现怀疑个别VLAN存在环路或ARP攻击，因为有个VLAN没有地域性，在不同的楼，不能通过断开网线来逐一排查。通过抓包软件抓包如何分析攻击源？

王赜

环路的话，可以通过登录交换机查看CPU利用率(超50%属于比较异常了)以及端口发收包的情况来判断是否存在环路，一般不会，一般都有STP直接检测，抓包的话直接看ARP报文，看哪个地址在扫描网段，一般ARP攻击就是某个地址不停的嗅探网段其他IP地址的MAC信息，不过这也仅仅只是嗅探，不能算攻击，真正的ARP欺骗是伪造MAC，会将自己主机的MAC伪造成其他主机或者网关的MAC，这样会导致某个或整个网段都上不了网，听你的描述可能仅仅只是拥塞而已，ARP报文可以看到是哪个IP在嗅探，然后通过该地址的MAC找到端口shutdown下看看效果

lhy524055487

王赜 发表于 2019-6-24 10:36
环路的话，可以通过登录交换机查看CPU利用率(超50%属于比较异常了)以及端口发收包的情况来判断是否存在环路 ...

谢谢

dantangsa

如果环路的话，试试port security设置只能一个MAC？

lhy524055487

dantangsa 发表于 2019-7-2 09:59
如果环路的话，试试port security设置只能一个MAC？

这个还真不行，因为我们基本每个端口下都有HUB，所有绑不过来。而且经常有搬家的情况。

tigerzq

现在好多大学用的网络扁平化改造，使用qinq技术，构建成大二层，这样就不怕了。

lhy524055487

tigerzq 发表于 2019-8-17 21:09
现在好多大学用的网络扁平化改造，使用qinq技术，构建成大二层，这样就不怕了。

我们为了防止扩散，每个楼启用自己的网关，各楼宇通过三层互联，大二层不方便管理。而且我们是医院，比大学的点位更密集，有互联网、外网、内网三套网络。内外网纯物理隔离。

tigerzq

lhy524055487 发表于 2019-10-5 09:26
我们为了防止扩散，每个楼启用自己的网关，各楼宇通过三层互联，大二层不方便管理。而且我们是医院，比大 ...

这还是传统思科提出来的园区网概念呀！三层互连走路由呗，但是楼层能的干扰怎么办？大学里面有些闲着无聊的学生利用专业知识，没事搞个攻击，测试一下黑客软件，影响都是比较大的。

tigerzq

lhy524055487 发表于 2019-7-2 19:47
这个还真不行，因为我们基本每个端口下都有HUB，所有绑不过来。而且经常有搬家的情况。

搬家后让他们到你那里重新申请才能上网，否则网络不通。经常搬家，放任随意接入和开放网络没多大区别了。我们这有大学里面，指定ip地址，搬家重新申请。而且HUB好像可以换了吧，多少年前的东西了。