ARP攻擊故障的排查與解決

■ 青島 何歡

筆者遇到互聯(lián)網(wǎng)區(qū)域主機無法訪問互聯(lián)網(wǎng)或訪問時斷時續(xù)，互聯(lián)網(wǎng)區(qū)域主機Ping網(wǎng)關(guān)，會出現(xiàn)“請求超時”或Ping包回應極不穩(wěn)定的情況，有時響應時間小于1ms，有時甚至會超過1000ms。

故障排查

1.進行電腦主機排查

在主機方面，排查網(wǎng)卡是否工作正常，通過網(wǎng)卡屬性，查看網(wǎng)卡收發(fā)包正常。通過Ping 127.0.0.1，發(fā)現(xiàn)網(wǎng)絡協(xié)議工作正常。

2.進行防火墻排查

登錄網(wǎng)關(guān)防火墻，發(fā)現(xiàn)設備工作正常，通過防火墻Ping外網(wǎng)網(wǎng)關(guān)，可以持續(xù)訪問，并且可以連通其公網(wǎng)地址，說明防火墻工作正常。

3.進行物理層排查

通過巡線，排查線纜有無斷裂，接頭及接口有無損壞等問題。經(jīng)排查物理連接正常。

4.進行網(wǎng)絡層排查

在網(wǎng)絡層，發(fā)現(xiàn)Ping網(wǎng)關(guān)極不穩(wěn)定，通過在CMD窗口輸入“arp -a”，發(fā)現(xiàn)網(wǎng)關(guān)的IP地址和MAC地址對應關(guān)系會發(fā)生變化，網(wǎng)關(guān)的IP地址不變，但是MAC地址會隨著時間而改變，登錄防火墻，查看防火墻內(nèi)網(wǎng)網(wǎng)口的MAC地址，發(fā)現(xiàn)和主機ARP表中的MAC地址不同。

故障分析

通過上述工作可以看出，主機無法連接互聯(lián)網(wǎng)或者互聯(lián)網(wǎng)訪問時斷時續(xù)的原因，是由于網(wǎng)關(guān)MAC變化造成的。

主機要想通過網(wǎng)關(guān)連接互聯(lián)網(wǎng)，最重要的一點就是通過網(wǎng)關(guān)將數(shù)據(jù)包發(fā)送出去。主機和網(wǎng)關(guān)都屬于同一網(wǎng)段，而同一網(wǎng)段的數(shù)據(jù)發(fā)送是通過MAC地址尋址來實現(xiàn)的。如果出現(xiàn)MAC地址變更的情況，主機就會把數(shù)據(jù)包發(fā)送到錯誤的MAC地址，從而導致互聯(lián)網(wǎng)連接丟失。

故障解決

在CMD窗口輸入“arp -a”，找出病毒主機MAC地址，然后在交換機上通過“show mac address”命令，找出病毒主機所在端口，將其shutdown，然后在主機上通過“arp -s”命令將網(wǎng)關(guān)IP地址和MAC地址進行靜態(tài)對應，這樣關(guān)于網(wǎng)關(guān)的ARP信息就不會自動更新。最后將病毒主機進行殺毒并重新接入網(wǎng)絡，故障解決。

故障總結(jié)

造成這一現(xiàn)象的原因是在網(wǎng)絡中，有個別的主機中了ARP病毒，該主機會向網(wǎng)絡中發(fā)送ARP更新數(shù)據(jù)，將網(wǎng)關(guān)的IP地址和自己的MAC地址對應發(fā)送到網(wǎng)絡中。在Windows系統(tǒng)中，主機的ARP更新表會以最新數(shù)據(jù)為主。因此，正常主機接收到該數(shù)據(jù)后，會更新自己的ARP表，就會造成ARP表對應關(guān)系錯誤，導致數(shù)據(jù)包發(fā)送到了錯誤的主機而不是網(wǎng)關(guān)。