本文详细记录了一次由ARP欺骗病毒引发的网络故障排查过程。通过对比不同主机的ARP映射表,发现并定位了问题所在,最终通过清除错误ARP缓存及隔离感染主机,恢复了网络正常运行。
前段时间,公司里的VPN-Server突然出现掉线的情况,导致广域网VPNClient无法连接。重新启动服务器,正常几分钟之后掉线情况又出现;郁闷~
使用其他拥有上网的主机ping DNS,都能够ping通,说明光纤线路正常。
在VPN-Server上运行arp命令查看IP-MAC映射解析表,网关的MAC值为:00-d0-70-03-a1-41;在开外一台拥有上网权限的主机A上使用相同命令,发现网关的MAC值为:00-16-e6-5d-65-3f,又在正常的主机B、主机C上查看网关MAC都等同于主机A;说明是VPN-Server的ARP映射表有问题。
在VPN-Server上将arp映射表清空,并将正确的网关IP-MAC映射值用手工方式绑定,运行arp -a查看:网关的IP-MAC正常,Type为static。
用管理工具查询到MAC地址为00-d0-70-03-a1-41的主机D,将其网线拔除进行杀毒操作。网络恢复正常。
原来主机D上中了ARP欺骗病毒,导致主机D将自己的MAC地址与网关的IP地址伪造出虚假的ARP响应包,并向整个网络广播;默认情况下每台主机的ARP高速缓存放的IP-MAC表都是动态改变的,且其在WINDOWS平台上的存活周期为50~60s,每台主机要与网关通信的时候都是先查看其ARP中是否存在IP-MAC,若存在,直接将网关的MAC地址放入以太网帧首部的目标地址中发送以太网数据报;若不存在,网络中发送一个ARP请求,等待相应主机将ARP响应发回,并添加到ARP高速缓存中。主机D频繁发送的ARP错误响应包使VPN-Server更改了自己的ARP高速缓存:将错误的IP-MAC 信息写入。这样,VPN-Server对网关发送的数据包全部错误发向了主机D,也就是说被主机D拦截,很多盗取密码的木马程序就是采用了ARP欺骗这种机制实现的。向ARP这种运行在链路层的重要协议是有必要了解掌握的,毕竟很多传输曾的高档协议都是依赖于网络层IP网际协议,而IP数据要想在链路层传导,必须得靠ARP、RARP这两个地址解析协议。
转载于:https://www.cnblogs.com/tran/archive/2006/12/09/587410.html
扫一扫
1505
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
