下班后,1个小时。。准备离开单位,突然听同事说,无法上网。
检查了4,5台客户端电脑,发现都无法ping通网关。
哥调整了下心态,进了机房。
我司的办公网络结构很简单。一台网络行为设备,wan口接电信2M宽带。lan口接交换机。
找到办公网机柜,很郁闷的看着4个互相级联的2层交换机上插满了无数的网线。
我觉得搞网络的,的确要蜘蛛侠才可以。
检查完电脑设备,都很正常。
看到这些2层设备,我只能想到arp攻击,才能造成如此破坏。
我在cmd下面,一边ping 网关。一边来回的输入arp -d,arp -a.
确没有发现,网关的mac地址有变化。 难道我判断错了?或者病毒太强力。。?
无奈将笔记本直接连接在交换机上(与网络行为设备lan口连接的同一个交换机),然后ping网关无果。
再看看这,无言的2层交换机与那无数的网线。“不会是级联成环造成的广播风暴吧”,突然有这样的想法。
于是我关掉了其中一个交换机,ping网关无果。
再关掉一个交换机,ping网关就正常了。
于是只能怀疑是刚关掉的第二个交换机或者与这个交换机连接的设备造成了这次的故障。
我再次接通此交换机电源,发现立即就不通了。
基本排除了成环的可能性,因为成环造成的广播风暴是会慢慢产生效果的。而刚才应该是立刻断网的。
应该是arp攻击。
于是,找到客户端电脑,逐个排查。
最终,确定问题机器,问题得到解决。
看看时间,下班已经3个小时了。。
==================================结论==================================
1.客户电脑,没有统一管理,没有完善反病毒机制。
2.2层交换机无法vlan,阻止arp攻击扩散。
检查了4,5台客户端电脑,发现都无法ping通网关。
哥调整了下心态,进了机房。
我司的办公网络结构很简单。一台网络行为设备,wan口接电信2M宽带。lan口接交换机。
找到办公网机柜,很郁闷的看着4个互相级联的2层交换机上插满了无数的网线。
我觉得搞网络的,的确要蜘蛛侠才可以。
检查完电脑设备,都很正常。
看到这些2层设备,我只能想到arp攻击,才能造成如此破坏。
我在cmd下面,一边ping 网关。一边来回的输入arp -d,arp -a.
确没有发现,网关的mac地址有变化。 难道我判断错了?或者病毒太强力。。?
无奈将笔记本直接连接在交换机上(与网络行为设备lan口连接的同一个交换机),然后ping网关无果。
再看看这,无言的2层交换机与那无数的网线。“不会是级联成环造成的广播风暴吧”,突然有这样的想法。
于是我关掉了其中一个交换机,ping网关无果。
再关掉一个交换机,ping网关就正常了。
于是只能怀疑是刚关掉的第二个交换机或者与这个交换机连接的设备造成了这次的故障。
我再次接通此交换机电源,发现立即就不通了。
基本排除了成环的可能性,因为成环造成的广播风暴是会慢慢产生效果的。而刚才应该是立刻断网的。
应该是arp攻击。
于是,找到客户端电脑,逐个排查。
最终,确定问题机器,问题得到解决。
看看时间,下班已经3个小时了。。
==================================结论==================================
1.客户电脑,没有统一管理,没有完善反病毒机制。
2.2层交换机无法vlan,阻止arp攻击扩散。