PC接华为交换机无法上网

发布时间:  2014-12-28 浏览次数:  111 下载次数:  0
问题描述
用户无法上网(上不了QQ也访问不了百度)
告警信息
处理过程
使用Capture-packet命令,抓取该vlan的报文,time-out时间设置久一点,通过wireshark软件过滤出arp报文,观察5分钟的流量,这里面收到了大量欺骗报文,且ARP欺骗报文使用的是arp reply单播到网关,所以攻击显得非常隐蔽,在PC 上根本察觉不出任何问题。通过分析arp reply报文的链路层源MAC地址字段,然后在交换机上dis mac-address找到对应的接口,shutdown该接口。
根因
和网管沟通后,发现内网仅一个网段用户上不了网。
此时判断可以是后续过程中加了ACL或者修改了ACL Rule导致,通过Console线查看网关,并未发现ACL设置!
此时找到一台上不了网的PC,使用该PC ping 本网段网关,提示
C:\Users\liao>ping 10.172.1.1

正在 Ping 10.172.1.1 具有 32 字节的数据:
请求超时。
请求超时。
请求超时。
请求超时。

10.172.1.1 的 Ping 统计信息:
    数据包: 已发送 = 4,已接收 = 0,丢失 = 4 (100% 丢失),
既然是提示超时,代表ICMP Echo发出去了,只是没有收到回应。
此时进入cmd命令行使用 arp –a 10.172.1.1 发现网关ARP条目正确!
继续ping 127.0.0.1和自己IP都通了,代表TCP/IP协议栈没问题,网卡也连通了。
继续再ping本网段其他用户,发现也通了,也就是只有ping网关不通。
准备到设备上使用capture-packet命令抓包,看看设备是否收到ICMP ECHO,如果没有收到代表可能是中间这段报文丢了,也有可能是交换机转发到其他地方去了。
在网关处使用抓包命令,发现收到了ICMP Echo报文,而且设备也回复了ICMP Reply。但是wireshark中看到icmp reply链路层的目的MAC是错误的,此刻在网关上dis arp all | include X.X.X.X 发现该PC对应的ARP条目mac地址是错误的。再次dis arp 发现该网段arp中条目全是错误的。由于ARP条目错误,所以不通!
解决方案
使用Capture-packet命令,抓取该vlan的报文,time-out时间设置久一点,通过wireshark软件过滤出arp报文,观察5分钟的流量,这里面收到了大量欺骗报文,且ARP欺骗报文使用的是arp reply单播到网关,所以攻击显得非常隐蔽,在PC 上根本察觉不出任何问题。通过分析arp reply报文的链路层源MAC地址字段,然后在交换机上dis mac-address找到对应的接口,shutdown该接口。
建议与总结
ARP攻击属于内网常见攻击,常见防范手段有如下三种:
1、 网关上起PPPoE服务,所有PC机拨号到网关。
2、 PC与网关双向ARP绑定
3、 交换机开IGMP-Snooping
三种方法各有优缺点,适用于不同环境。

END