У нас есть небольшая сеть из около 100 ноутбуков / настольных компьютеров и около 20 серверов (звучит чрезмерно, но эти серверы также предоставляют услуги для всех наших внешних подрядчиков), и недавно мы заметили, что наш сервер Exchange CAS был взломан. Хакеры установили VPN-сервер и снова использовали нашу сеть для выхода. Мы также заметили, что они установили ряд вредоносных программ. Пока мы очистили эту машину, но теперь у нас есть еще одна проблема с ARP-атакой.
Существует непрерывный последовательный ARP-запрос ко всем IP-адресам в подсети, и почти каждую минуту MAC-адрес нашего брандмауэра (шлюза) Juniper заменяется на наше устройство Juniper VPN, что в результате делает доступ к Интернету недоступным для сотрудников, поскольку ящик Barracuda недоступен. неправильный ящик для маршрутизации трафика.
Наконец, есть непрерывный запрос / ответ ARP на 0.0.0.0 и отсутствие существующего MAC-адреса в моей сети.
Мы используем маршрутизатор Cisco 2800 для Интернета, и все наши внутренние коммутаторы - это HP Procurve, в то время как у нас есть сочетание серверов Windows и Linux, работающих в сети. Кроме того, все наши серверы виртуализированы с помощью Vmware Vsphere.
Я так далеко исчерпал свой предел в определении машины (-ов), вызывающей эту проблему, и любые полезные идеи будут очень признательны.
----Редактировать---
С тех пор я запустил Wireshark в сети, как вы, ребята, предложили, и заметил странную закономерность. MAC-адрес моего устройства Juniper VPN выделяется моему брандмауэру Juniper, который в результате отключает подключение к Интернету, а также Wireshark говорит, что мой ящик Barracuda ЯВЛЯЕТСЯ источником, как видно из этого изображения ниже: http://i.stack.imgur.com/i7T0p.png
Запустите захват пакета.
Посмотрите на запрос ARP в захвате.
Определите исходный MAC-адрес в запросе ARP.
Найдите порт коммутатора, связанный с этим MAC-адресом, в таблице MAC-адресов коммутатора.
Определите устройство, подключенное к этому порту коммутатора.
Осмотрите это устройство.
Учитывая, что потенциально существует вредоносное ПО корневого уровня, возьмите заведомо исправный ноутбук (например, загруженный с LiveCD) и подключите его к порту на коммутаторе. Зажечь какое-то программное обеспечение для захвата пакетов. Отсоединяйте кабели (необязательно небольшими группами), пока интересующий трафик не прекратится. Определите устройство (а), подключенное к рассматриваемому кабелю (ам). Обратите внимание, что в случае, если это вызвано неправильной конфигурацией, может быть пара устройств, вызывающих проблему, поэтому, если конфигурация на устройстве запуска кажется правильной, протестируйте его изолированно и / или в ограниченном окружении, чтобы исключите взаимодействие как проблему.
Правильные (т. Е. Не вредоносные) ARP-запросы и ответы содержат MAC-адреса, поэтому вы также можете использовать их для утвердительной идентификации задействованных машин.
Последнее замечание: в зависимости от того, насколько умен ваш коммутатор, вы можете принудительно назначить ему конкретное сопоставление MAC <-> IP, добавив статическую запись ARP, после чего вы, по крайней мере, сможете отследить эту проблему в некоторых степень покоя.