局域网内ARP欺骗分析.docVIP

一次局域网内ARP欺骗故障排除分析 现象：最近局域网内经常有人报怨很慢，甚至上不起。 第一步：由于是个别现象，故首先来到了那故障机旁查看其网络参数，结果未发现异样。 第二步：故障机可以通局域网，但速度确实很慢，难道有鬼？于是想到：arp –a，显示如下 192.168.1.149 00-14-2A-8D-D8-BD dynamic 用arp –d清除ARP缓存后，再用arp –a，刚开始没有显示，几次之后就有又出现以上结果 根据ARP缓存原理，看来故障机与00-14-2A-8D-D8-BD有联系。 想法：192.168.1.149 00-14-2A-8D-D8-BD这台机器肯定有问题 这么台机器，谁是00-14-2A-8D-D8-BD？或者根本就存在这台机器，怎么办？总不可能一根根拔网线吧？ 用科来分析： 为了更准确定位，我使用如下过滤器 发现网关就是怀疑机器（00-14-2A-8D-D8-BD） 怎么可能呢？明明ARP里的是192.168.1.149，这里又变成了网关，而我们局域网的网关为192.168.1.1，问题就出在这儿？ 打开路由器，查看网关参数： 果然如此，网关和故障机都被欺骗了，也也难怪故障机慢了。 而且也由上图可以看出，192.168.1.149和192.168.1.227都在“网关”00-14-2A-8D-D8-BD之下，看来已经建立了