又见ARP 由ARP攻击导致的网络故障

    
    从图1可以知道，网络中划分了6个VLAN，分别是10.230.201.0/24、10.230.202.0/24、0.230.203.0/24、10.230.204.0/24、10.230.205.0/24、10.230.206.0/24、，其中201～205这5个VLAN分别用于一个部门，而206为服务器专用网段。各VLAN同时连接上中心交换机(Passport 8010)，中心交换机再连接到防火墙，由防火墙连接到Internet以及省单位。

　　大致了解了网络拓扑后，我们以超级终端方式登录中心交换机，发现交换机的负载较大，立即清除交换机ARP表并重启，但故障仍然存在，于是我们决定对网络进行抓包分析。

　　在中心交换机(Passport 8010)上配置好端口镜像，并将安装科来网络分析系统的笔记本接到中心交换机的镜像口上，安装好后网络的拓扑简图如图2所示。

 

   

图2

    
    由于科来网络分析系统可以跨VLAN对数据进行捕获分析，所以在中心交换机上接入安装科来网络分析系统的笔记本后，网络的拓扑结构并未发生任何改变。打开笔记本上的科来网络分析系统，捕获数据包约1分钟(捕获停止后发现确切时间是53秒)后停止捕获，并对捕获到的数据通讯进行分析。将节点浏览器定位到物理端点下的本地网段，我们发现MAC地址为00:00:E8:40:44:99的主机，下面共有40个IP地址，如图3。

 

   

图3

上一页  [1] [2] [3] [4] 下一页