木馬問題解決方案

最近一個剛完工的一個單位在向我們反應遇到一個奇怪的問題，說是一個VLAN機經常會出現一些機子不能上網的情況，但不一定是哪臺機子，有時候是這臺，有時候是其它的一臺，但都在一個VLAN內，而且反應，在PING閘道器的時候，用VLAN的IP做的閘道器，經常會在PING到將近20包的時候會丟一個資料包。網路的情況是核心層用6509的交換機連到3750上，3750下連十二臺的3548做了CLUSTER。出問題的VLAN是在叢集下的一臺機子，經過我們分析，最有可能的是此VLAN的某臺機子中了木馬，木馬的型別是屬於ARP期騙，簡單的說就是當你的機子傳送一個資料包的時候，在同VLAN下的其它的機子獲得了你的包，你的資料包將經過這個機子，然後再傳送到閘道器，資料包返回的時候也是如此，而這臺機子因為產生了一個假的閘道器，它又持續不斷的攻擊VLAN的其它的機子，就造成了這種情況。

解決的過程如下

1。在中心交換機上term moni

然後再debug arp

這樣就會反應看出哪臺機子的MAC地址做了假的閘道器。

2。尋找這臺機子的網口。

3。show mac-address-table address 0000.0000.0000假如此為它的MAC地址。可以看到這個MAC的對應的介面。順著這個介面查到二層的彙集

4。在3750上。show mac-address-table address 0000.0000.0000

這時可以看到是這個3750的交機上對應的介面。

5。sh cluester numbers

檢視對應的介面的交換機。假如編號為6

6。rc 4

登入到那臺交機上，sh cdp | include 0000.0000.0000

這樣就可以看到那臺機子的IP和對應的介面號。當然其中的一些步驟可以省，也可以有更方便的方法，但這個是個查詢的基本方法，其它的也可以通用。

[@more@]