记一次ARP网络欺骗故障应急

因本号小队忙于各自的事情，更新频率下降，如果有读者朋友有哪方面的问题，欢迎来信探讨！谢谢大家！

前言：某日下午，应朋友请求解决一起网络故障，先让他描述故障现象，得到如下现象：在某市政单位办公内网出现某一vlan用户整体上网体验差，具体为好一会，差一会，而且在上网行为管理上能够看到该段用户在线状态。

一.分析问题

根据描述现象无法判断具体故障原因，因此，叫朋友给我看网络拓扑，并指出网关所在交换机，并询问是否有DHCP配置。朋友刚开始说有，导致排查方向受到干扰，但最后还是找出问题根源。接着询问有无用户私接交换机及路由器，朋友说有这个私接现象，最后基本定位问题为两类。

故障：192.168.5.0/24 vlan100本段用户网络时好时坏，体验感极差，用户要求排查并解决，故障发生时间为3.13日，距今5天。

二.原因分析

根据朋友描述，可能原因如下：

（1）用户私接路由，可能造成DHCP争用，也就是dhcp spooning 攻击，

（2）ip冲突，此用户段出现IP地址冲突，导致ARP表一个IP对应多个MAC，

（3）环路，或者ARP欺骗，现象，相同MAC出现在不同端口，或者一个MAC对应多个IP。

那问题大致3种，一一验证即可，在核心、汇聚、接入交换机上查看DHCP状态，无DHCP，此时朋友说法错误，该网段为手工静态配置。

2.查看MAC地址表，发现异常，结果如下：

同一个MAC对应不同的IP，可暂时断定为ARP攻击。

3.再根据MAC查，如下图所示：

这下子可以清楚的看到确定为ARP欺骗攻击了。

分析排查完毕！上报朋友。

三.解决问题

根据该MAC对应的端口信息，锁定并记录到接入交换机的对应端口，然后依次shutdown掉该MAC地址对应的交换机端口，并观察网络质量变化，然后等待被封用户寻找网络管理员进行进一步排查处置。

或者直接把该MAC绑定到一个无用的IP，禁用掉此MAC地址，手工静态ARP绑定IP，杜绝此MAC对应的IP干扰网络，并进一步观察ARP表的变化。

喜欢的朋友可以动动手指点个关注。有问题欢迎来信探讨！