ARP 地址攻擊查找流程

　　1、如果客戶端PC與網關無法通訊，首先在客戶端ping 網關地址后，然后在dos窗口下執行 arp –a 查看網關的mac地址，記錄下網關MAC地址。到交換機上查找交換機的MAC地址(例如VLAN1接口)

　　執行 show int vlan 1 查看輸出信息中VLAN1接口MAC，同時執行 show standby vlan 1 查看HSRP網關MAC地址。如果客戶端顯示的mac(假設為00-0d-0a-ac-bc-78)地址與網關地址不同，則可能是網關的MAC遭到ARP病毒攻擊。到交換機上執行show mac-address | in 000d.0aac.bc78 在輸入信息中查找關聯該MAC地址的端口，如果該端口是直連PC或者SERVER的端口，那么該端口所連客戶端可能感染ARP類病毒。如果該端口連接的是另外一臺交換機，那么登陸到那臺交換機上執行show mac-address | in 000d.0aac.bc78 直到關聯端口是直連PC的端口位置。

　　2、如果客戶端PC能夠PING 通網關但是與其他VLAN的機器PING(假設該地址為192.168.1.111)不通。首先在客戶端ping 192.168.1.111后，然后在dos窗口下執行 arp –a 查看對方IP地址對應的mac地址，記錄下其MAC地址(有可能沒有信息)，同時在目標機器192.168.1.111上執行 ipconfig/all查看該機器網卡mac地址并記錄下(注意：交換機上顯示的MAC地址和PC上顯示的MAC地址格式不一樣，交換機上為4個16進制數一組并以“.”分割，PC機上為2個16進制數為一組以”-”分割)。在dos窗口下執行 tracert –d 192.168.1.111。查看tracert信息最后一跳到達哪臺交換機。登陸到那臺交換機上執行PING 192.168.1.111，然后執行 show arp | in 192.168.1.111 查看輸出信息的mac地址與目標機器(192.168.1.111)的mac地址是否相同。如果不同(假設顯示為 000a.da87.5bca)，記錄下后執行 show mac-address | in 000a.da87.5bca 在輸出信息查看該MAC地址關聯到哪個端口，如果關聯的端口連接到另外一臺交換機上則到那臺交換機上執行show mac-address | in 000a.da87.5bca，最終找到關聯端口連接是最終客戶端(PC或者server)的端口，如果該端口不是真正連接192.168.1.111的端口通常該端口既是感染ARP類病毒的機器。在交換機上執行 show arp | in 000a.da87.5bca 輸入信息通常會顯示該MAC會關聯多個IP地址。

　　流量攻擊型病毒的查找流程

　　如果局域網中通訊不正常、丟包嚴重，登陸到網關上也會延遲很大，通常是局域網中有機器感染了流量攻擊型病毒，該類病毒會發送大量的小字節數據包消耗網絡中交換機、路由器的帶寬和處理能力。查找該類病毒也是通過流量判斷攻擊來源。在核心交換機上執行clear count 清除當前各個接口上的流量信息，20秒鐘后執行show interface 查看各個接口上的流量(數據包的數量、總字節數)通常會有一個或幾個端口的數據包的數量相當夸張，但是總字節數不一定很多。如果這個端口直連PC那么暫時拔下該端口網線查看網絡是否回復正常。如果該端口是連接另外一臺交換機那么登陸到那臺交換機上依次操作，先清空各個端口的統計數字，20秒鐘后檢查接口流量。直到找到直連PC而且流量相當大的機器。