今天早上无聊自己做测试,发动了下ARP攻击,学着找攻击源。
下面记录一下主要思路吧。首先,在系统中用arp -a查到仿冒路由的那个mac地址,记录下来。登陆到上层的路由,sh arp。查看改mac地址对应的接口。
用sh cdp nei命令查看与路由相连的思科设备,确定该接口对应的是下层网络设备还是直接连主机。结果发现该接口下是核心交换机。
登陆到该交换机,用sh mac查看,找到仿冒者的mac记录下相应接口。依旧用sh cdp nei命令确认是否还有下层设备。结果确定该接口直接连接主机。至此,确定了攻击源。如果有安装记录,可直接由记录查找该接口连接哪个办公桌,或者悲惨一点摸着线一路找过去……
若划分了VLAN也可用sh vlan命令缩小查找范围……
这次试验中,多谢刚哥的指点与帮助,呵呵
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/7969839/viewspace-631356/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/7969839/viewspace-631356/