Temos uma pequena rede de cerca de 100 portáteis / desktops e cerca de 20 servidores (soa um exagero, mas esses servidores também fornecem serviço para todos os nossos contratados externos) e notamos recentemente que nosso servidor CAS do Exchange foi invadido. Os hackers instalaram o servidor VPN e estavam usando nossa rede para sair novamente. Nós também notamos que eles instalaram o número de Malwares. Até agora, limpamos a máquina, mas agora temos outro problema com o ataque ARP.
Existe uma solicitação arp sequencial contínua para todos os ips na sub-rede e quase todos os minutos nosso MAC de firewall (gateway) Juniper está sendo trocado por nosso dispositivo Juniper VPN, o que torna indisponíveis o acesso à Internet aos funcionários desde o Barracuda box é a caixa errada para rotear o tráfego.
Finalmente, há uma solicitação / resposta contínua de ARP para 0.0.0.0 e nenhum endereço MAC existente em minha rede.
Usamos o roteador Cisco 2800 para a Internet e todos os nossos switches internos são o HP Procurve, enquanto temos uma mistura de servidores Windows e Linux em execução na rede. Além disso, todos os nossos servidores são virtualizados Vmware Vsphere.
Estou tão longe do meu limite para identificar a (s) máquina (s) que causam este problema e quaisquer ideias de ajuda seriam muito apreciadas.
---- Editar ---
Desde então, eu rodei o Wireshark na rede, como vocês sugeriram, e há um padrão estranho que eu notei. O endereço MAC do meu dispositivo Juniper VPN está sendo alocado para o meu firewall Juniper que, como resultado, está cortando a conexão à Internet e também Wireshark diz que minha caixa Barracuda é a fonte como pode ser vista na imagem abaixo: link
Execute uma captura de pacotes.
Veja a solicitação ARP na captura.
Identifique o endereço MAC de origem na solicitação ARP.
Procure a porta do switch ligada a esse endereço MAC na tabela de endereços MAC do switch.
Identifique o dispositivo conectado a essa porta do switch.
Inspecione esse dispositivo.
Dado que existe potencialmente um malware de nível de raiz à solta, pegue um laptop em bom estado (por exemplo, um inicializado a partir de um LiveCD) e conecte-o a uma porta no comutador. Acione algum software de captura de pacotes . Desconecte os cabos (opcionalmente em pequenos grupos) até que o tráfego de interesse pare. Identifique o (s) dispositivo (s) conectado (s) ao (s) cabo (s) em questão. Observe que, caso isso esteja sendo acionado por uma configuração incorreta, pode haver um par de dispositivos causando o problema, portanto, se a configuração no dispositivo acionador parecer correta, teste-a de forma isolada e / ou em uma vizinhança reduzida, a fim de elimine a interação como uma preocupação.
As solicitações e respostas ARP adequadas (ou seja, não maliciosas) contêm endereços MAC, portanto, você também pode usá-las para identificar as máquinas envolvidas de maneira afirmativa.
Uma última nota: dependendo de quão inteligente é o seu switch, você pode forçar um mapeamento IP em particular para ele adicionando uma entrada ARP estática, com a qual você poderá ao menos rastrear esta questão em algum grau de paz.
