鱼C论坛

 找回密码
 立即注册
查看: 3388|回复: 2

网络维护实战之一次小arp的处理过程

[复制链接]
发表于 2011-6-10 01:39:41 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能^_^

您需要 登录 才可以下载或查看,没有账号?立即注册

x
本帖最后由 小逸 于 2011-6-10 08:05 编辑

记一次arp
问题中Ip全是虚构,但是绝对是真实的环境和处理思路:

arp是什么?问baidu
原理也请问baidu


A客户发映服务器上网站被挂马严重
我才不信呢,这种乱叫的客户多了,我打开一看,果然这次是真的
a客户的ip是:192.168.1.66
首先我看了一下,机器是通的,整个机柜也是通的,这说明问题应该不大,(机柜没整个挂掉呀!)
先进交换机ip:192.168.1.2,看看
telnet 进去,
dis log 没见什么
dis mac 有很多,24口有24多个吧,不怎么会数数
客户反映说arp防火墙中发现一个可疑的mac
注意:这个mac可能是真实的也可能是伪装的。
我进交换机一看,mac应该是真实的,因为这个Mac地址确实存在。
我一看与之对应的是192.168.1.77(在交换机中自查看就可以)
直接down掉这个口,我发现192.168.1.66竟然也跟着down掉了,这是为什么呢?
应该是192.168.1.77先定向欺骗了192.168.1.66
理由:整个机柜就这两台机器可疑,而在down掉1.77的时候这个反应到更符合了。
这个时候直接down掉1.77,但是1.66也是不通的
为什么呢?
这应该就是arp缓存了,重启一下1.66这台服务器,果然通了。
客户反映挂马消失了。
ok,1.77这个垃圾先down着吧
2010-6-10-1:35分,打扰哥休息,睡觉去了
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
 楼主| 发表于 2011-6-10 01:40:32 | 显示全部楼层
明天去看MM,看Mm,看Mm
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
发表于 2011-9-17 16:37:18 | 显示全部楼层
:lol
想知道小甲鱼最近在做啥?请访问 -> ilovefishc.com
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|手机版|Archiver|鱼C工作室 ( 粤ICP备18085999号-1 | 粤公网安备 44051102000585号)

GMT+8, 2024-3-29 04:37

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表