ARP攻击故障的排查与解决
2020-12-31青岛何欢
■ 青岛 何欢
笔者遇到互联网区域主机无法访问互联网或访问时断时续,互联网区域主机Ping网关,会出现“请求超时”或Ping包回应极不稳定的情况,有时响应时间小于1ms,有时甚至会超过1000ms。
故障排查
1.进行电脑主机排查
在主机方面,排查网卡是否工作正常,通过网卡属性,查看网卡收发包正常。通过Ping 127.0.0.1,发现网络协议工作正常。
2.进行防火墙排查
登录网关防火墙,发现设备工作正常,通过防火墙Ping外网网关,可以持续访问,并且可以连通其公网地址,说明防火墙工作正常。
3.进行物理层排查
通过巡线,排查线缆有无断裂,接头及接口有无损坏等问题。经排查物理连接正常。
4.进行网络层排查
在网络层,发现Ping网关极不稳定,通过在CMD窗口输入“arp -a”,发现网关的IP地址和MAC地址对应关系会发生变化,网关的IP地址不变,但是MAC地址会随着时间而改变,登录防火墙,查看防火墙内网网口的MAC地址,发现和主机ARP表中的MAC地址不同。
故障分析
通过上述工作可以看出,主机无法连接互联网或者互联网访问时断时续的原因,是由于网关MAC变化造成的。
主机要想通过网关连接互联网,最重要的一点就是通过网关将数据包发送出去。主机和网关都属于同一网段,而同一网段的数据发送是通过MAC地址寻址来实现的。如果出现MAC地址变更的情况,主机就会把数据包发送到错误的MAC地址,从而导致互联网连接丢失。
故障解决
在CMD窗口输入“arp -a”,找出病毒主机MAC地址,然后在交换机上通过“show mac address”命令,找出病毒主机所在端口,将其shutdown,然后在主机上通过“arp -s”命令将网关IP地址和MAC地址进行静态对应,这样关于网关的ARP信息就不会自动更新。最后将病毒主机进行杀毒并重新接入网络,故障解决。
故障总结
造成这一现象的原因是在网络中,有个别的主机中了ARP病毒,该主机会向网络中发送ARP更新数据,将网关的IP地址和自己的MAC地址对应发送到网络中。在Windows系统中,主机的ARP更新表会以最新数据为主。因此,正常主机接收到该数据后,会更新自己的ARP表,就会造成ARP表对应关系错误,导致数据包发送到了错误的主机而不是网关。