最近发现某机柜下的服务器入方向基本被占满,大量丢包,流量图如下
服务器的入方向流量惊人相似(采集的交换机SNMP,所以流量是反的,outgoing实际为服务器的入方向流量),第一反应是泛洪了
于是接入了一个服务器进去使用tcpdump排查,果然是单播泛洪,但是源和目的地MAC都是已知的,按道理只有未知单播包才会泛洪,这里抓包来的信息,全部都是已知单播包,仔细检查了这个二层交换机,确认了交换机无配置错误,当时觉得是交换机软件BUG,版本比较老,是junos 12的,于是直接更换了一台新版本的交换机,状况依旧,于是在考虑是不是二层下面有特殊的包触发了什么juniper的软件BUG?
tcpdump出来的信息如下,全部都是已知MAC,由三层网关转发过来的,本地二层交换机也有这些MAC信息
从二层抓包下来用wireshark看看
发现问题了,所有的目的地IP都被劫持走了,目的地IP应该是转发给上层思科网关交换机的,却被转发到了一个dell的服务器上了,于是根据MAC找到了端口,并查看了下端口下所有的MAC地址
这台服务器在内网攻击,劫持流量,并且他的MAC一直在变化,导致交换机也没法找到他伪造的地址,所以会广播给所有端口,导致泛洪
封机解决问题,但是此次也发现了另一个问题,这台交换机没有做MAC地址限制,导致这种情况会被利用上,以后注意
文章评论