《ARP欺骗导致小区用户无法上网.docx》由会员分享,可在线阅读,更多相关《ARP欺骗导致小区用户无法上网.docx(6页珍藏版)》请在金锄头文库上搜索。
1、 ARP欺骗导致小区用户无法上网并非病毒所致由于有多个用户反映消失该故障,可以排解用户的线路和机器故障的缘由,依据以往阅历疑心是某用户机器中毒,开机后病毒发作发送大量数据包导致局域网通信拥塞使得用户掉线。于是我们将一台电脑安装上Sniffer软件后接入小区局域网,试图找出中毒机器。经过长时间观测,并未发觉有任何机器的连接数或发出的数据包特别增多,可仍有用户在我们观测时反映有掉线现象。查找IP地址冲突点我们分别更换了位于小区第一级的光纤收发器和交换机,问题仍没有得到解决。既然小区局域网没有发觉问题,我们将目光转向了位于机房内的会聚交换机,疑心接入该小区的端口性能不良,预备更换端口。该小区接在一台
2、huaweis3526的16号端口上,登录到交换机上以后,看到消失下面一些提示信息: %1/15/2022 18:32:30-SYSM-5-IP COLLISION:Rcv src IP 10.4.1.50 arped 00-00-6a-60-78-a3 By 00-03-47-52-43-10 resided in port 16%1/15/2022 18:32:32-SYSM-5-IP COLLISION:Rcv src IP 10.4.1.42 arped 00-00-93-64-48-d2 By 00-03-47-52-43-10 resided in port 16%1/15/202
3、2 18:32:35-SYSM-5-IP COLLISION:Rcv src IP 10.4.1.26 arped 00-00-34-3d-20-65 By 00-03-47-52-43-10 resided in port 16 信息中提示消失IP地址冲突,显示的端口号正是该小区的接入端口。莫非问题的结症在这里?认真观看,发觉全部提示均表示一个MAC地址为00-03-47-52-43-10的机器与其他机器在IP地址与MAC地址转换的过程中发生了冲突,即全部IP地址均被改成了与00-03-47-52-43-10地址相对应。由于该小区用户采纳的是DHCP方式安排IP地址,通过认证计费系统查找MA
4、C地址为00-03-47-52-43-10的用户,到该用户家与用户进展沟通,该用户反映从未手动更改正IP地址,上网始终很正常,日常使用中也未感觉到机器有何异样。我们在其机器上用Netstat等命令查看,也未发觉有任何特别连接或过多连接,不同于一般机器中毒状况。后经与用户协商断开该用户与楼栋交换机的连接,长时间观看,小区不再有用户反映掉线,看来掉线确实是由该用户引起的。木马哄骗ARP缓存表该现象应当是软件方面的问题。将该用户机器硬盘拆下,挂接到另外一台机器上进展扫描杀毒,发觉存在十余种病毒,通过查找资料,最终发觉肇事者是一个隐蔽在外挂中的木马程序。通常来说,木马程序仅仅窃取用户的信息,而这个木马
5、为何会导致其他用户掉线呢?我们知道,用户访问因特网的数据包必需通过屡次路由才能到达目的效劳器,目的效劳器返回用户的数据包也必需通过屡次路由才能回到用户端。数据包路由的第一步是用户机器上填写的默认网关,假如网关消失问题,那么用户是无法上网的。默认网关填写的是IP地址,而用户机器与网关通信时采纳的是MAC地址,问题就发生在这里。我们先了解一下ARP协议。ARP协议是“Address Resolution Protocol”(地址解析协议)的缩写,在局域网中,网络中实际传输的是“帧”,帧里面有目标主机的MAC地址。在以太网中,一个主机要和另一个主机进展直接通信,必需要知道目标主机的MAC地址。但这个
6、目标MAC地址是如何获得的呢?它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC地址的过程。ARP协议的根本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺当进展。采纳以太网方式接入上网的电脑里都有一个ARP缓存表(见表1),表里的IP地址与MAC地址是一一对应的。表1 ARP缓存表 主机fficeffice“ / IP地址 MAC地址 主机网关 192.168.16.254 xx-xx-xx-xx-xx-xx 网关A 192.168.16.1 aa-aa-aa-aa-aa-aa A我们以主机A(192.168.16.1)上网
7、为例。当发送数据时,主机A会在自己的ARP缓存表中查找是否有网关的IP地址。假如找到了,也就知道了目标MAC地址,直接把目标MAC地址写入帧里面发送就可以了;假如在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个播送,目标MAC地址是“FF.FF.FF.FF.FF.FF”,这表示向同一网段内的全部主机发出这样的询问:“192.168.16.254的MAC地址是什么?”网络上其他主机并不响应ARP询问,只有网关接收到这个帧时,才向主机A做出这样的回应:“192.168.16.254的MAC地址是xx-xx-xx-xx-xx-xx”。这样,主机A就知道了网关的MAC地址,它就可以
8、向网关发送信息了。同时它还更新了自己的ARP缓存表,下次再向网关发送信息时,直接从ARP缓存表里查找就可以了。ARP缓存表采纳老化机制,在一段时间内假如表中的某一行没有使用,就会删除,这样可以大大削减ARP缓存表的长度,加快查询速度。*域网内某台主机运行ARP哄骗的木马程序时,会哄骗局域网内全部主机和路由器,让全部上网的流量必需经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,考试,大提示切换的时候用户会断一次线。当ARP哄骗的木马程序停顿运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。 于是我们在网关交换机的“系统历史记录”中看到大量如下类似的信息: %1/1
9、5/2022 18:32:30-SYSM-5-IP COLLISION:Rcv src IP 10.4.1.26 arped 00-00-93-64-48-d2 By 00-00-b4-52-43-10 resided in port 16 这个消息代表了用户的MAC地址发生了变化,在ARP哄骗木马开头运行的时候,局域网主机的MAC地址更新为病毒主机的MAC地址。双向绑定防止ARP哄骗我们可以采纳双向绑定的方法来解决并且防止ARP哄骗。(1)在PC上绑定路由器的IP和MAC地址。(2)在路由器上绑定用户主机的IP和MAC地址。对于网络运营商来说,在不便利进展双向绑定时,只有通过治理员常常查阅路由器日志,尽早发觉相关提示信息,断开问题用户连接的方法来保障其他用户正常上网。
