Trill场景下全网MAC异常造成部分主机通信异常

发布时间:  2015-06-30 浏览次数:  156 下载次数:  0
问题描述

客户组网如下:


问题现象一:Trill 网络中查看日志出现MAC飘移

问题现象二:查看问题主机ping的通网关但是网关ping不通主机

告警信息
处理过程

主机能ping通网关,但是网关上查看不到主机的ARP,这就说明主机ping报文并没上送到网关,查看LOG会发现有MAC飘移的情况,这就说明现网环境中出现了异常的MAC,查看问题主机,我们发现这个虚拟机服务器确实植入了攻击程序,产生了ARP攻击的情况,将问题主机MAC设置为黑洞MAC,问题解决

根因

抓取报文分析,发现在现网环境下出现了大量的ARP应答报文,对于ARP进行了广泛的无差别应答,这是个很不正常的情况,定位中发现是同一个MAC进行的报文应答,这就需要考虑是不是一个ARP攻击,查看问题主机,我们发现这个虚拟机服务器确实植入了攻击程序,产生了ARP攻击的情况,将问题主机MAC设置为黑洞MAC,问题解决。

解决方案

建议与总结

对于客户的DMZ区域,尤其需要关注二层报文的攻击,在考虑的安全性的情况下,建议开启严格学习去进行对于网络的保护。

END