分类: 网络与安全
2010-09-29 23:13:02
一,通过cisco三层交换机日志,查看是否存在mac地址冲突
1)
登录CISCO交换机,输入命令show log,查找类似于下列信息:
*May 11 23:54:12: %IP-4-DUPADDR: Duplicate address 192.168.13.1 on Vlan107, sourced by 8888.8888.8888
此信息表明IP 192.168.13.1对应的mac地址有2个,而8888.8888.8888这个MAC地址是伪造的MAC地址)
2)查询这个IP对应有几个IP
show ip arp | include 8888.8888.8888
看看是否占用了2个以上IP地址(一般公司客户,一台机器有2个IP地址)。如果是,执行第3步
3)通过show mac-address-table | include 8888.8888.8888 找到这个主机的所在交换机端口.
4)处理ARP欺骗的机器
拔掉这个主机的网线,再输入命令clear arp-cache ,清除下arp缓存,应该就可以了!
二,通过科来软件来抓包分析ARP
1)登录交换机做镜像
先登录交换机,进入配置模式
configure terminal
monitor session 1 source interface VLAN 104(设置源VLAN)
monitor session 1 destination interface Fa0/14(目标端口)
2)将装有科来抓包软件的机器,用网线接在交换机的Fa0/14,抓包分析ARP。
三,通过刷新arp缓存列表。(未完待续)
