问题很奇怪,至少对我来说。
我有一个 Windows 2003 专用服务器。每隔一段时间(大约每三个月),Cisco 交换机会像这样断开此服务器的连接:
%PORT_SECURITY-2-PSECURE_VIOLATION:发生安全违规,由端口 FastEthernet0/33 上的 MAC 地址 2020.2020.3c64 引起。
ISP 的支持试图让我相信我有一些恶意软件正在尝试进行 mac 欺骗攻击,并且他们的政策是允许每个端口 3 个 mac 地址,并且当超出此地址限制时会发生这种情况。
我已经使用三种不同的工具(包括微软的)进行了扫描,但我找不到任何东西。发生这种情况时,我已经检查了网络访问日志,甚至没有脚本小子在寻找 phpmyadmin。
可能是某些 Windows 组件正在这样做吗?任何,我的意思是任何关于下一步检查的建议将不胜感激。
该消息表明交换机在端口上看到太多不同的以太网源地址。机器尝试在每个物理接口上使用多个以太网地址有许多可能的正当理由。
您是否在服务器上运行任何虚拟机(VMware 或类似的)?这可能会导致合法的多个 MAC。
您是否正在运行任何高可用性软件?一些用于弹性的方法依赖于为物理机器使用一个 MAC,而一个 MAC 用于在机器之间浮动的服务 IP(VRRP 和 HSRP 是促进这一点的两种协议)。
您是否确定没有任何硬件或驱动程序问题?正如 radius 所说,故障驱动程序或硬件可能会导致这种行为。
您是否从“已知干净启动”扫描了机器?可能是您的恶意软件感染足够聪明,可以隐藏在您的扫描工具中,但是从已知良好的主机(或干净启动,关闭只读媒体)检查磁盘可能会绕过用于隐藏。
你用什么网卡,用什么驱动王?我已经看到这种问题(但不是在 Windows 上),其中每个驱动程序问题,以太网卡上的缓冲区已满,并且卡发送的数据包信息错误(包括源 mac 地址)
尝试使用 Microsoft Network Monitor(它是免费的)并应用规则 - “not UDP.Adress =”。您将看到谁在发送格式错误的帧。
试一试
ipconfig /all你看到多少个网络接口?您是否正在运行任何类型的负载平衡/集群应用程序?
你的网卡有什么特别之处吗?多端口等?
您是否尝试过为您的 NIC 更新驱动程序?
您的托管公司可以给您端口安全日志吗?查看它尝试使用的 MAC 地址可能会给您一个提示。您可以在此处查找供应商 ID。(考虑到 20-20-20 没有向任何人注册,正在发生一些事情......)
如果可能,请在该服务器上运行协议分析器,例如Wireshark
这至少应该让您了解无关 MAC 地址的来源。
如果它确实来自您的服务器,那么您可能需要更深入地查看。该 MAC 地址似乎根本无效,并且您可能有一个进程发送不应该的帧。
我还将验证您与提供商交换机的物理连接没有通过任何可能将帧注入错误端口的中间交换机。
发生这种情况时,ISP 应该能够告诉它看到的 MAC 地址。他们还应该能够将端口配置为仅允许您想要工作的 MAC 地址并丢弃任何其他 MAC 地址,而不是关闭端口。
0x202020203c64 是“>d”,有点可疑的 MAC 地址。损坏的网卡损坏缓冲区、损坏的驱动程序或损坏的内存。
在服务器上运行 memtest86。
或者正如他们所说,恶意软件。