上網(wǎng)故障 別總拿ARP欺騙病毒說事

【IT168 專稿】對(duì)于企業(yè)網(wǎng)絡(luò)管理員來說最頭疼的恐怕就要屬ARP欺騙病毒了， 這類病毒會(huì)造成全內(nèi)網(wǎng)所有主機(jī)的上網(wǎng)困難， 然而在實(shí)際維護(hù)過程中由于ARP欺騙病毒的特性使得很多網(wǎng)絡(luò)管理員發(fā)現(xiàn)上網(wǎng)故障后就直接從ARP欺騙解決辦法下手， 然而我們應(yīng)該知道并不是所有的內(nèi)網(wǎng)故障都是ARP欺騙造成的， 很多時(shí)候ARP欺騙成為了其他病毒和故障的替罪羊， 今天筆者就根據(jù)自己經(jīng)驗(yàn)為各位介紹巧判斷為ARP欺騙平反的方法。

　　一， ARP欺騙的特征：

　　ARP欺騙的特征就是本機(jī)網(wǎng)關(guān)對(duì)應(yīng)的地址信息被欺騙， 原來正確的地址被非法欺騙者篡改， 非法欺騙者自己充當(dāng)網(wǎng)關(guān)來達(dá)到ARP欺騙的目的。 在有問題計(jì)算機(jī)上通過arp -a查詢ARP緩存表會(huì)發(fā)現(xiàn)網(wǎng)關(guān)IP地址對(duì)應(yīng)的MAC地址和正常時(shí)不同， 正確的網(wǎng)關(guān)MAC地址被篡改。

　　總的來說網(wǎng)關(guān)MAC地址與正常地址不同是ARP欺騙的最大特征， 一旦確認(rèn)此點(diǎn)就可以斷定內(nèi)網(wǎng)中存在ARP欺騙病毒。

　　二， 巧判斷為ARP欺騙平反：

　　既然我們知道了ARP欺騙病毒的最大特征是MAC地址的偽造， 那么我們就可以通過查詢正確的網(wǎng)關(guān)對(duì)應(yīng)的MAC地址來判斷內(nèi)網(wǎng)是否感染了ARP欺騙病毒。 一般來說對(duì)于中小企業(yè)網(wǎng)關(guān)設(shè)備可以分為路由交換設(shè)備以及服務(wù)器(單機(jī))。 如果企業(yè)直接通過路由器轉(zhuǎn)發(fā)數(shù)據(jù)的話網(wǎng)關(guān)地址應(yīng)該是網(wǎng)絡(luò)連接的接口IP地址， 如果是通過代理或單機(jī)防火墻訪問外網(wǎng)的話， 網(wǎng)關(guān)地址應(yīng)該是那臺(tái)網(wǎng)關(guān)服務(wù)器。 下面我們依次來講解如何查詢這些設(shè)備的正確網(wǎng)關(guān)MAC地址。

　　(1)路由交換設(shè)備上端口MAC地址的查詢：

　　對(duì)于路由交換設(shè)備來說自身會(huì)有很多個(gè)端口， 每個(gè)端口都對(duì)應(yīng)一個(gè)MAC地址， 因此我們首先要確定的是內(nèi)網(wǎng)設(shè)備連接的是哪個(gè)端口， 確定了具體端口后我們才能夠到路由交換設(shè)備管理界面中去查詢端口的真實(shí)MAC地址。 具體命令如下——

　　首先進(jìn)入路由交換設(shè)備管理界面， 然后進(jìn)入相應(yīng)的端口， 執(zhí)行display interface。 例如我們要查詢ethernet 0接口的相關(guān)地址信息， 就要先執(zhí)行int ethernet 0進(jìn)入以太0接口， 然后執(zhí)行display interface來查詢接口信息， 在顯示出來的列表中我們可以看到hardware address is 00-0f-e2-30-6b-84的字樣， 這里的00-0f-e2-30-6b-84就是該端口對(duì)應(yīng)的MAC地址。 當(dāng)然如果不能確定的話我們也可以根據(jù)internet address后的IP地址信息來判斷是否就是我們需要的網(wǎng)關(guān)地址。 (如圖1)

　　(2)服務(wù)器作為網(wǎng)關(guān)MAC地址的查詢：

　　如果網(wǎng)關(guān)是服務(wù)器或者單獨(dú)主機(jī)設(shè)備的話查詢網(wǎng)關(guān)MAC地址要簡單一些， 我們只需要在“開始”->“運(yùn)行”->“輸入CMD回車”進(jìn)入命令提示窗口， 然后在命令行窗口中輸入ipconfig /all查看本機(jī)網(wǎng)絡(luò)參數(shù)信息， 在顯示的地址信息處有一行physical address， 其后羅列的就是服務(wù)器作為網(wǎng)關(guān)的MAC地址信息。 (如圖2)

　　(3)巧判斷為ARP欺騙平反：

　　確定了網(wǎng)關(guān)的MAC地址后我們就要來判斷到底內(nèi)網(wǎng)故障是否真的是由ARP欺騙病毒引起的， 在任何一臺(tái)機(jī)器上或者專門找存在問題主機(jī)上通過“開始”->“運(yùn)行”->“輸入CMD回車”進(jìn)入命令提示窗口， 然后執(zhí)行arp -a命令， 在這里我們將看到本機(jī)羅列出的所有ARP緩存表信息。 查看網(wǎng)關(guān)IP地址對(duì)應(yīng)的MAC地址， 確認(rèn)他是否和我們之前查詢到的網(wǎng)關(guān)MAC地址一致， 如果相同的話說明內(nèi)網(wǎng)沒有感染ARP欺騙病毒， 如果不同則說明虛假M(fèi)AC地址那臺(tái)計(jì)算機(jī)感染了ARP欺騙病毒。 (如圖3)

　　三， 總結(jié)：

　　并不是所有的內(nèi)網(wǎng)上網(wǎng)故障都是由ARP欺騙病毒引起的， 筆者接觸到很多網(wǎng)絡(luò)管理人員動(dòng)不動(dòng)就拿ARP欺騙病毒說事， 筆者希望本文可以幫助網(wǎng)管快速定位故障， 不要以為ARP欺騙病毒是內(nèi)網(wǎng)故障的締造者， 要知道其他病毒， 黑客入侵， 驅(qū)動(dòng)故障等問題也會(huì)造成內(nèi)網(wǎng)上網(wǎng)故障， 希望各位管理人員不要反復(fù)從ARP欺騙下手解決所有故障問題， 那樣只會(huì)走彎路， 在故障排除時(shí)我們還是要保持一份平常冷靜的心。