小逸 发表于 2011-6-10 01:39:41

网络维护实战之一次小arp的处理过程

本帖最后由 小逸 于 2011-6-10 08:05 编辑

记一次arp
问题中Ip全是虚构,但是绝对是真实的环境和处理思路:

arp是什么?问baidu
原理也请问baidu


A客户发映服务器上网站被挂马严重
我才不信呢,这种乱叫的客户多了,我打开一看,果然这次是真的
a客户的ip是:192.168.1.66
首先我看了一下,机器是通的,整个机柜也是通的,这说明问题应该不大,(机柜没整个挂掉呀!)
先进交换机ip:192.168.1.2,看看
telnet 进去,
dis log 没见什么
dis mac 有很多,24口有24多个吧,不怎么会数数
客户反映说arp防火墙中发现一个可疑的mac
注意:这个mac可能是真实的也可能是伪装的。
我进交换机一看,mac应该是真实的,因为这个Mac地址确实存在。
我一看与之对应的是192.168.1.77(在交换机中自查看就可以)
直接down掉这个口,我发现192.168.1.66竟然也跟着down掉了,这是为什么呢?
应该是192.168.1.77先定向欺骗了192.168.1.66
理由:整个机柜就这两台机器可疑,而在down掉1.77的时候这个反应到更符合了。
这个时候直接down掉1.77,但是1.66也是不通的
为什么呢?
这应该就是arp缓存了,重启一下1.66这台服务器,果然通了。
客户反映挂马消失了。
ok,1.77这个垃圾先down着吧
2010-6-10-1:35分,打扰哥休息,睡觉去了

小逸 发表于 2011-6-10 01:40:32

明天去看MM,看Mm,看Mm

乐め乐 发表于 2011-9-17 16:37:18

:lol
页: [1]
查看完整版本: 网络维护实战之一次小arp的处理过程