明輝手游網(wǎng)中心:是一個(gè)免費(fèi)提供流行視頻軟件教程、在線(xiàn)學(xué)習(xí)分享的學(xué)習(xí)平臺(tái)!

局域網(wǎng)ARP欺騙排查處理報(bào)告

[摘要]上周四下午, 單位網(wǎng)絡(luò)故障, 無(wú)法打開(kāi)網(wǎng)頁(yè), 關(guān)掉防火墻, 路由器, 重新起動(dòng), 故障消失, 這種事情由來(lái)已久, 因?yàn)榫W(wǎng)絡(luò)設(shè)計(jì)初期問(wèn)題...... 周五出現(xiàn)網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)現(xiàn)象, 一本科生告訴我可能是...

上周四下午, 單位網(wǎng)絡(luò)故障, 無(wú)法打開(kāi)網(wǎng)頁(yè), 關(guān)掉防火墻, 路由器, 重新起動(dòng), 故障消失, 這種事情由來(lái)已久, 因?yàn)榫W(wǎng)絡(luò)設(shè)計(jì)初期問(wèn)題......

周五出現(xiàn)網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)現(xiàn)象, 一本科生告訴我可能是“ARP欺騙”所致, 在DOS下, 輸入:arp -a 發(fā)現(xiàn)網(wǎng)關(guān)MAC地址與一臺(tái)IP為192.168.0.9的主機(jī)MAC相同, 找到該機(jī)后, 斷掉, 網(wǎng)絡(luò)恢復(fù)。

本以為事情就這么過(guò)去了, 然而:

周一上班又出現(xiàn)網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)、網(wǎng)速慢、上不去網(wǎng)……眾人紛紛報(bào)告, 搞得我相當(dāng)郁悶, 情急之下發(fā)現(xiàn)重新起動(dòng)電腦故障就消失了, 于是簡(jiǎn)單要求照做。 晚上在家查找了相關(guān)資料, 知道遇到ARP欺騙這種事情不好搞, 并且找到了應(yīng)急對(duì)策:

1、              對(duì)網(wǎng)關(guān)做IP-MAC綁定

2、              用MAC掃描器得到網(wǎng)內(nèi)上網(wǎng)主機(jī)的IP-MAC對(duì), 記錄下來(lái)以備后用

周二上班前做了網(wǎng)關(guān)地址綁定。 一上午至下班前一小時(shí)無(wú)事, 但我知道, 這個(gè)ARP欺騙主機(jī)像幽靈躲在暗處, 時(shí)刻窺探發(fā)動(dòng)攻擊的最佳時(shí)刻, 不把它揪出來(lái), 早晚是個(gè)事兒!現(xiàn)在它沒(méi)有出現(xiàn), 可能是因?yàn)楣收现鳈C(jī)的人沒(méi)來(lái)不在單位, 根本沒(méi)開(kāi)機(jī)!果然, 下班前一個(gè)小時(shí)故障再次出現(xiàn)!然而單位70幾臺(tái)上網(wǎng)主機(jī)三個(gè)樓層, 怎么查?!有人提出一個(gè)房間一個(gè)房間的斷網(wǎng)排查, 我否定的這種干擾正常工作秩序的方案, 決定重新研究新對(duì)策。 下載了一個(gè)AntiArpSniffer的工具進(jìn)行監(jiān)控, 晚上回家在不安中睡去……

周三, 也就是今天早上到單位, 在兩臺(tái)監(jiān)控的主機(jī)上發(fā)現(xiàn)如下“欺騙機(jī)MAC地址:00-11-**--**-**-2D”(由于此地址為物理網(wǎng)卡地址, 具有全球唯一性, 故隱去真實(shí)值), 軟件還報(bào)告了發(fā)生欺騙的時(shí)間和大概36次的欺騙次數(shù)!但卻沒(méi)有查出IP地址。 8點(diǎn)半用MAC掃描器進(jìn)行全網(wǎng)掃描, 卻未發(fā)現(xiàn)上述MAC地址。  9點(diǎn)15分, 有機(jī)器報(bào)告不能上網(wǎng), 到現(xiàn)場(chǎng), 運(yùn)行欄輸入:arp –d 不用關(guān)機(jī)重起, 可以上網(wǎng), 更確定是ARP病毒所致。 10點(diǎn)05分再次用MAC掃描器, 突然閃現(xiàn)了IP與MAC地址對(duì)應(yīng)的主機(jī)。。』鹚俾(lián)系機(jī)主, 對(duì)方反應(yīng)這幾天上網(wǎng)速度很慢, 正想重裝系統(tǒng)。 告知事發(fā)原因, 并驗(yàn)明他昨天上午到下班前一小時(shí)確實(shí)不在單位沒(méi)有開(kāi)機(jī)的事實(shí), 與網(wǎng)絡(luò)自他歸來(lái)后變得不穩(wěn)定現(xiàn)象完全符合!經(jīng)對(duì)方查驗(yàn)其MAC地址確實(shí)與掃描出的欺騙主機(jī)地址一致。!事主重新格式化重裝系統(tǒng)……

雖然找出了源頭并采取的相應(yīng)措施, 但內(nèi)心始終忐忑, 網(wǎng)絡(luò)安全任重道遠(yuǎn)啊……

一切盡在觀察中……

處理步驟小結(jié)

1、              應(yīng)急處理不能上網(wǎng)的主機(jī), 在運(yùn)行欄里執(zhí)行命令:arp –d

2、              用AntiArpSniffer 3.5 監(jiān)測(cè)網(wǎng)絡(luò)

3、              用MAC掃描器 找出主機(jī)IP地址

4、              根據(jù)IP地址找到電腦, 格式化, 重裝系統(tǒng)。

5、              OVER 

建議

對(duì)整個(gè)網(wǎng)絡(luò)做IP-MAC綁定。


上面是電腦上網(wǎng)安全的一些基礎(chǔ)常識(shí),學(xué)習(xí)了安全知識(shí),幾乎可以讓你免費(fèi)電腦中毒的煩擾。