ARP欺骗上网掉线.doc

在管理与维护局域网的过程中，网络管理员遇到各类形形色色的故障是常有的事情，要想快速有效地将网络故障排除、解决掉，需要网络管理员在日常工作中不断积累故障排除经验。下面就是笔者曾经遭遇到的一则奇怪的网络故障，现借助本文向各位朋友们介绍如何在日后的网络维护中解决类似的网络故障。 ??? 故障现象 ??? 单位局域网网络共分成了三个工作子网，其中10.168.1.0网段被标识为A子网，并且该子网专门用于接入单位的各种服务器主机，其他所有子网都能访问该网段中的各个服务器；另外，10.168.2.0网段被标识为B子网，10.168.3.0网段被标识为C子网，每一个网段的掩码地址都为255.255.255.0，同时各个工作子网通过二层交换机与单位的核心交换机直接相联，并且每一个网段中的所有主机都能正常访问网络。 ??? 最近C子网中的许多工作站在访问A子网中的服务器系统时，却遇到了非常奇怪的现象，具体表现为当C子网中的1号工作站、2号工作站、3号工作站访问A子网中的服务器出现频繁掉线现象时，4号工作站、5号工作站、6号工作站访问相同子网中的服务器却很稳定。 ??? 当4号工作站、5号工作站、6号工作站访问服务器出现频繁掉线现象时，1号工作站、2号工作站、3号工作站访问相同的服务器系统又恢复正常了。 ??? 然而让人感到非常意外的是，C子网中的每一台工作站互相访问时却非常正常，而且各自相互访问的速度还很快。 ??? 更让人吃惊的是，上述网络故障一到了晚上就会自动消失，但是白天正常上班期间这种网络故障又会毫无规律性地出现在我们的面前，很显然这种故障不被彻底根治，将会严重影响单位的日常工作。 故障排除 ??? 从上面的故障描述中，我们不难看出同一子网中的每一台工作站相互访问时一切正常，这也表明了C子网在网络连线上是没有任何问题的。之后，笔者检查了连接C子网的二层交换机以及单位的核心交换机的参数配置情况，发现配置还是以前的配置，于是笔者断定交换机的参数设置肯定不会出现问题，但想到交换机工作时间变长之后，很可能出现缓存出错的故障。 ??? 于是笔者不放心，特意将二层交换机以及单位的核心交换机的电源暂时断开一会儿，然后重新启动交换机系统，这样一来保存在各个交换机缓存中的所有内容全部被清除干净了。经过这样的处理之后，上述网络故障突然消失了，笔者原以为网络无规律掉线的故障至此就被顺利排除了；可谁知道，过了两三天后，C子网中又出现了相同的网络故障了。 ??? 考虑到重新启动交换机系统后，网络故障的确消失了一段时间，为此笔者认定该网络故障肯定还是与交换机有一定的关系；为了彻底找到引起上述网络故障的真正原因，笔者找来了一台备用的交换机，并按照C子网先前的网络配置设置好了这台备用交换机的工作参数，之后又按正确的方法将它接入到网络中，可是C子网的工作站还是出现了以前的不规则掉线现象，看来这则故障现象与交换机毫无关系。这究竟是什么原因呢？ ??? 偶然之间，笔者登录进C子网的一台工作站系统中，并在该工作站中对C子网的网关地址执行Ping命令测试，测试结果发现该网关地址有时能够被Ping通，有时无法Ping通；更让笔者感到困惑的是，在Ping通网关地址的情况下，笔者又执行了一次“arp -a”字符串命令，发现C子网的网关MAC地址显示为00-08-02-65-B7-60，但是在Ping不通网关地址的情况下，笔者在本地工作站执行“arp -a”字符串命令后，发现发现C子网的网关MAC地址竟然变成了0F-01-0E-68-F7-90。 ??? 后来笔者不放心，特地从C子网中又找了其他几台工作站进行测试，结果发现C子网的网关MAC地址变化情形完全相同；按理来说，C子网的网关MAC地址应该是固定不变的，现在怎么会突然发生了变化呢？事实上，C子网的网关MAC地址正确的应该为00-08-02-65-B7-60，在无法Ping通C子网的网关地址时，其MAC地址才变成了0F-01-0E-68-F7-90。 ??? 这说明C子网中存在ARP地址欺骗现象，换句话说就是C子网中的某一台工作站不小心感染了ARP欺骗木马病毒。当局域网中的某工作站感染了ARP木马病毒后，会自动对局域网中的所有工作站以及缺省网关进行自动欺骗，这么一来所有尝试访问网络的工作站需要首先连接病毒工作站，从而引起了C子网中的工作站无法正常访问其他网段中的工作站，当然也不能正常访问A子网中的各台服务器主机了。 故障解决 ??? 找到了C子网无规律掉线原因之后，我们需要想办法阻止ARP病毒实施欺骗攻击。要做到这一点，我们首先要做的就是找出C子网中究竟是哪一台工作站感染了ARP病毒。考虑到在Ping不通网关地址的情况下，C子网的网关MAC地址由原来的00-08-02-65-B7-60变成了0F-01-0E-68-F7-90，这说