當前位置：首頁 > 运维知识 > linux >内容正文

linux

linux arp 文件,LINUX 下ARP 的查找

發布時間：2023/12/10 linux 26 豆豆

生活随笔收集整理的這篇文章主要介紹了 linux arp 文件,LINUX 下ARP 的查找小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

由于內網無法正常連接網關，遠程登陸網關已無法實現。因此一切操作均在網關服務器本地進行。

3.1? ? ? ? 在服務器本地端口抓包

[root@Routed-Server tmp]# tcpdump -nn -i eth1 > error.network

tcpdump: listening on eth1

2749 packets received by filter

0 packets dropped by kernel

# 將通過eth1端口的包抓下來，存為error.network文件

3.2? ? ? ? 將ARP包截取出來

[root@Routed-Server tmp]# grep ‘arp’ error.network > arp.virus

[root@Routed-Server tmp]# ls -l arp.virus

-rw-r--r--? ? 1 root? ???root? ?? ?? ?6241 Oct 25 10:59 arp.virus

# 將所有ARP包截取，另存為文件

3.3? ? ? ? 分析ARP包

[root@Routed-Server tmp]# vi??arp.virus

～省略

10:43:26.086278 arp reply 192.168.2.2 is-at 0:14:78:80:d9:e4

10:43:26.181051 arp reply 192.168.2.3 is-at 0:14:78:80:d9:e4

10:43:26.211026 arp reply 192.168.2.11 is-at 0:14:78:80:d9:e4

10:43:26.242212 arp reply 192.168.2.4 is-at 0:14:78:80:d9:e4

10:43:26.304441 arp reply 192.168.2.162 is-at 0:14:78:80:d9:e4

10:43:26.398826 arp reply 192.168.2.167 is-at 0:14:78:80:d9:e4

～省略

# 問題出來了，可以看到以上幾個包括網關IP在內的IP地址都宣稱其位于MAC地址

# 為“00:14:78:80;d9:e4”的網卡

3.4? ? ? ? 查看網關(192.168.2.11)的MAC地址

[root@Routed-Server tmp]# ifconfig eth1 |grep -A1 'HWaddr'

eth1? ?? ?Link encap:Ethernet??HWaddr 00:0A:EB:55

1:72

inet addr:192.168.2.11??Bcast:192.168.2.255??Mask:255.255.255.0

# 可以看到網關的MAC地址為“00:0A:EB:55

1:72”，與上面arp-reply包不相符

# 這里基本上可以份析出中毒的機器MAC地址為“00:14:78:80:d9:e4”

3.5? ? ? ? 準確定位中毒機器

知道可能中毒機器的MAC地址，對其定位應該不是件難事。對于小型的網絡我們可以對每臺機器的MAC地址進行查詢，但是對于大型網絡，機器臺數超過200臺的環境，這樣做并不是最高效的辦法。由于使用DHCP，這里我想到了DHCP的租約記錄。

在/var? ? ? ? /lib/dhcp/dhcpd.leases記錄中查找MAC地址對應的IP記錄

[root@Routed-Server tmp]# vi??/var/lib/dhcp/dhcpd.leases

~省略

lease 192.168.2.161 {

starts 3 2006/10/25 02:56:22;

ends 2 2038/01/19 03:14:06;

binding state active;

next binding state free;

hardware ethernet 00:14:78:80:d9:e4;

uid "\001\000\024x\200\331\344";

client-hostname "ABEAAF6E64884EB";

}

~省略

# 在dhcpd.leases文件中，我找到如上記錄

# 可以看出MAC地址為“00:14:78:80:d9:e4”的機器，IP地址為192.168.2.161

# 機器名為“ABEAAF6E64884EB”

到這里，中毒機器的機器名，IP地址均已查出。

閱讀(1246) | 評論(0) | 轉發(0) |

總結

以上是生活随笔為你收集整理的linux arp 文件,LINUX 下ARP 的查找的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。

上一篇：在线打开html文件,html是什么文件
下一篇：动视宣布《使命召唤》重返Steam平台