快速定位ARP 让局域网不再断线

    在诊断中，笔者同时发现：几乎所有的ARP应答都是由MAC地址为00:20:ED:AA:0D:04的客户端发起的。而且在“参考信息”中提示说可能存在ARP欺骗，看来当初的判断是对的，确实是网络中存在ARP欺骗。为了进一步确定，得结合其他内容信息，于是笔者查看了“协议视图”，以了解ARP协议的详细情况，如图3所示。　
   
中国网管联盟bitsCN.com

    中国网管联盟bitsCN.com

　　图3

网管下载dl.bitscn.com

    
    从图3中所显示的协议分布来看，ARP Response和ARP Request相差比例太大了，这是极不正常的。接下来，再看看数据包的“详细情况”，如下图4。　
   

网管网www_bitscn_com

    网管bitscn_com

网管u家u.bitsCN.com

　　图4
网管下载dl.bitscn.com

    
    大家从图4中的“数据包信息”应该看出问题了，00:20:ED:AA:0D:04在欺骗网络中192.168.17.0这个网段的主机自己是网关。从而充当中间人的角色，劫持该网段，被欺骗主机的信息流量都跑到该主机。

网管bitscn_com

　　3. 故障排除 网管联盟bitsCN@com

　　现在我们可以确定造成公司局域网频繁间歇性断线的罪魁祸首就是ARP欺骗攻击，下面要做的就是定位MAC地址为00:20:ED:AA:0D:04的主机。通过查询局域网内部的MAC地址和主机对应表，很快确定了该客户端。然后对该主机进行断网杀毒，果然查出了ARP病毒。最后把该主机连入局域网，经过一段时间的测试再没有出现本文开头所述的故障。

中国网管论坛bbs.bitsCN.com

　　4. 深入分析

　　网络故障是排除了，但为什么会出现间歇性的断线呢?笔者通过分析找到了原因：MAC地址为00:20:ED:AA:0D:04 的主机，扫描攻击192.168.17.0 这个网段的所有主机，并欺骗该网段上的主机它就是网关，被欺骗主机的数据都发送到MAC地址为00:20:ED:AA:0D:04的主机上去了。但非常有意思的是：通过笔者对抓包数据的分析MAC为00:20:ED:AA:0D:04的ARP源主机并没有欺骗真正的网关，所以公司网络才会出现断网后几分钟又自动连接的现象。