ARP欺骗故障现象和解决方法.docxVIP

ARP欺骗现象和解决方法 ARP定义： ARP是地址解析协议，是将 ip地址转换成 mac地址的协议。是一种广播包。 ARP表生成： 在主机的cmd命令窗口下，输入 arp -a可以看到所有的ip和对应mac的信息 如 \Usei*s \c lienssai*p —a 鑿态态态态态态态 鑿态态态态态态态 妾口二 i?2.168,22.46 Internet 地址 1V2.16S.22.1 ￡1 50 1?62 55 239.25G.2SE.20 55 1— 8xb 物理地址 J8-he-bf-f3-b5-4f 4-7a-88-91-7a-3e ?c~4e^36-3d^cd^b4 5c-96^?d-78-dd-df 28^uF-tf?-21-0F^dl ff-ff-ff-ff-ff-ff ff-ff-ff-ff-ff-ff ARP表如何生成： 例如：主机A想要和主机B通信，主机A会查找本地arp表，找到主机 B的mac地址， 然后进行传输。如果主机 A没有找到主机 B的mac地址，那么主机 A就会发送一个arp广 播包，主机B收到这个ARP广播包后，回复主机 A它的mac地址。然后主机 A就会在本地 arp缓存表里，生成主机 B的ip和mac地址信息。（该表现默认会保存 300秒） ARP欺骗 Arp欺骗有两种方式，一种是对网关的欺骗，一种是对 pc的欺骗。 网关欺骗： 通过不断发送错误的 mac信息给网关，使真实的mac信息无法保存在路由器 的arp表中，结果网关设备发送的数据都是错误的 mac地址，导致正常的pc不能收到信息。 Pc欺骗：攻击者可以伪造自己是网关，这样， pc发送的数据都到达了假的网关，不能通 过正常的网关传输数据。 ARP故障现象 现象一：当局域网内某台主机感染了 ARP病毒时，会向本局域网内所有主机发送 ARP 欺骗攻击谎称自己是这个网端的网关设备， 让原本流向网关的流量改道流向病毒主机， 造成 主机不能正常上网 现象二：局域网内有某些用户使用了 ARP欺骗程序，发送 ARP欺骗数据包，致使被 攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。 ARP诊断 如果用户发现自己不能上网， 或者网络时断时续， 可以进行如下操作确定是否 arp欺骗 点击 开始”按钮- 选择 运行”〉输入“ arp -d点击 确定”按钮，然后重新尝试上网，如果 能恢复正常，则说明此次掉线可能是受 ARP欺骗所致。 ARP -a显示当前 arp项 ARP -d删除当前arp项 ARP处理 首先找出arp病毒源， 1、 通过抓包软件，对抓包软件抓取到的数据分析， 如果发现某个ip不停的发送arp 包，那么这个ip的主机就是arp病毒源。 2、 在不能上网的主机的 cmd窗口下，输入arp -a查看不能上网的主机除了有相同 的网关的mac/ip信息外，是否还有其他一样的 mac/ip地址信息，那么这个mac/ip 信息的设备就是arp病毒源。 3、 第三种方法是在 cmd窗口下输入tracert ，如果下一跳不是网关 的地址，那么下一跳的地址就是 arp病毒源。 找到arp病毒源后，先把中arp病毒的主机断开网络，然后通过杀毒软件查找， 并删除， 如果是单独被 arp病毒源攻击的主机，可以绑定网关 ip/mac地址信息，然后再找出攻击源 并做断网杀毒处理。