最近这两天因为办公电脑被同事切到另外一个VLAN导致每隔半小时左右就出现ping不通网关,去不了其它网络上不了网的现象。对于这个问题首先第一反应就是看看PC ARP表项是否异常,arp -a查看后网关ARP信息正常,为什么PING不通网关呢,去网关防火墙上show arp | match x.x.x.x自己的ARP信息,即是对应0010-dbff-2000的MAC,天啦,网关被欺骗了,难怪网关回不了包;以为网络中必定不良攻击者破坏办公网络,经过继续在安全网关上对此MAC的ARP信息进行查看发现ARP中毒段有几十个IP都同时对应着此MAC地址,难道这么多IP的ARP表项都被毒化了。然后在交换设备上show mac-address-table | included 0010-dbff-2000来查找攻击者的接入端口,令人费解的是此MAC有几个不同VLAN的端口与之对应,又经过一番查找求证发现juniper nscreen的untrust接口的MAC地址都是0010-dbff-2000,网络中有很多nscreeen的网络设备,大多数外部接口都是此MAC地址,这就意味着在网关防火墙这里的一部分IP对应同一MAC地址的表项是没有问题的,但是其它PC的这些ARP对应还是意味着有ARP欺骗攻击的存在。
继续看ARP毒化段的接口为0010-dbff-2000的接口为网络中某区域的防火墙设备,查找后发现此异常段里面伪装此MAC的地址只有防火墙接入的端口,难道防火墙成为了攻击源?,带着疑问又继续进行抓包验证,经过了几次抓包分析,0010-dbff-2000总是在不断回应段内IP的MAC为他自己的MAC,显然是在不断欺骗着网关或者客户端,但是给PC端的毒化ARP很少,基本都是丢给网关的,那到底还有谁冒充防火墙的MAC在不断的发送ARP毒化包?或者此攻击源就是防火墙?
经过对netscreen防火墙get mip all终于让我相信了攻击源就是防火墙!其实防火墙也是无辜的!因为我的网络结构是这样的,防火墙与众PC都同在一个LAN,网关都为SRX防火墙。而现在netscreen上有静态映射,且这些映射的IP段恰好又是DHCP分配给众PC的IP,这样就导致了网络里边同一个IP确有2个不同的MAC,而由于netscreen经常发ARP应答给juniper SRX防火墙网关,应该用户DHCP获取后不久就PING不通网关上不了外网了,因为网关的ARP被攻击源防火墙给不断刷新了,回包显然去了它那里。
当然这是我同事在做IP地址分配的时候忽略的一个问题,不应该把MIP的这个段内的一部分IP继续供DHCP分配,现在把这些已用做静态映射的IP段排除后,问题解决!
