客户端连接交换机后无法正常访问互联网

发布时间:  2016-12-22 浏览次数:  258 下载次数:  0
问题描述

用户电脑无法正常上网。

处理过程

和网管沟通后,发现内网仅一个网段用户上不了网。

 此时判断可以是后续过程中加了ACL或者修改了ACL Rule导致,通过Console线查看网关,并未发现ACL设置!

 此时找到一台上不了网的PC,使用该PC ping 本网段网关,提示C:\Users\liao>ping 10.172.1.1

 正在 Ping 10.172.1.1 具有 32 字节的数据:
 请求超时。
 请求超时。
 请求超时。
 请求超时。

 10.172.1.1 的 Ping 统计信息:
     数据包: 已发送 = 4,已接收 = 0,丢失 = 4 (100% 丢失),
 既然是提示超时,代表ICMP Echo发出去了,只是没有收到回应。

 此时进入cmd命令行使用 arp –a 10.172.1.1 发现网关ARP条目正确!

 继续ping 127.0.0.1和自己IP都通了,代表TCP/IP协议栈没问题,网卡也连通了。

 继续再ping本网段其他用户,发现也通了,也就是只有ping网关不通。

 准备到设备上使用capture-packet命令抓包,看看设备是否收到ICMP ECHO,如果没有收到代表可能是中间这段报文丢了,也有可能是交换机转发到其他地方去了。

 在网关处使用抓包命令,发现收到了ICMP Echo报文,而且设备也回复了ICMP Reply。但是wireshark中看到icmp reply链路层的目的MAC是错误的,此刻在网关上dis arp all | include X.X.X.X 发现该PC对应的ARP条目mac地址是错误的。再次dis arp 发现该网段arp中条目全是错误的。由于ARP条目错误,所以不通。

使用Capture-packet命令,抓取该vlan的报文,time-out时间设置久一点,通过wireshark软件过滤出arp报文,观察5分钟的流量,这里面收到了大量欺骗报文,且ARP欺骗报文使用的是arp reply单播到网关,所以攻击显得非常隐蔽,在PC 上根本察觉不出任何问题。通过分析arp reply报文的链路层源MAC地址字段,然后在交换机上dis mac-address找到对应的接口,shutdown该接口。

建议与总结

ARP攻击属于内网常见攻击,常见防范手段有如下三种:

 1、 网关上起PPPoE服务,所有PC机拨号到网关。

 2、 PC与网关双向ARP绑定

 3、 交换机开IGMP-Snooping

END