kaicong11

奈瑞儿身为网管，小于(化名)近日对频繁的断网事故头疼不已，开始以为是网内哪台机器中招了，每台机器都查了一遍，却没有发现哪台机器不正常。问题的症结没有找到，可是网络亦然是时通时断，极不稳定，当时，奈瑞儿也没有想到是ARP欺骗。
　　咨询朋友之后，小于了解到，“ARP”欺骗可能是这种网络不稳定现象的产生原因。小于的朋友告诉他，当带有ARP欺骗程序的计算机在网内进行通讯时，就会导致频繁掉线，出现此类问题后重启计算机或禁用网卡会暂时解决问题，但掉线情况还会发生。
　　在网络发展的今天，很多单位的网管都和小于一样，不仅遭受各种病毒的经常性骚扰，近来他们还要ARP欺骗不停的侵袭。这些都让他们疲惫不堪，尤其是后者，近来状况越来越严重，而且危害也是不可预估的——因为ARP欺骗不仅使局域网内频繁性区域或整体掉线，网络通道阻塞，造成网络设备的承载过重，导致网络的通讯质量不稳定；而且一些人为了获取非法利益，利用ARP欺骗程序在网内进行非法活动，此类程序的主要目的在于破解账号登陆时的加密解密算法，通过截取局域网中的数据包，然后以分析数据通讯协议的方法截获用户的信息，运行这类木马病毒，就可以获得整个局域网中上网用户账号的详细信息并盗取。
　　就目前状况看，企业内部网络“ARP”欺骗如病毒发作一样，在所难免。问题不可避免，应急预案就十分重要，其原则是“ARP”欺骗一旦发生，首先要理清思路，找到问题的关键，使用行之有效方式，彻底清除。
　　奈瑞儿定位攻击发起端是解决问题的关键
　　故障现象：机器以前可正常上网的，突然出现可认证，不能上网的现象，重启机器或在MS-DOS窗口下运行命令ARP -d后，又可恢复上网一段时间。
　　故障原因：这是典型APR病毒欺骗攻击。
　　引起问题的原因：初期由传奇外挂携带的ARP木马攻击，当在局域网内使用上述外挂时，外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP包，从而致使同一网段地址内的其它机器误将其作为网关，这就是为什么掉线时内网是互通的，计算机却不能上网的主要原因。
　　奈瑞儿看到当病毒发作的时候，为了更快定位攻击发起端，是解决问题根源。我们通过NBTSCAN查找病毒主机，关闭所有二层交换机，把管理员的计算机接在核心交换机上，此时管理员的计算机可正常上网。Ping三层交换机的地址，查看相关MAC地址，再通过三层交换机IP地址获取三层交换机真实的MAC地址。使用同样的方法得到路由器真实MAC地址。打开所有二层交换机，在ARP病毒攻击时所有计算机都表现为有网络连接，但打不开网页。此时在dos窗口下输入命令arp -a，查看网关的IP地址和MAC地址对应关系，与刚才得到的真实MAC地址对比，如果不相同，此次获得的MAC地址即为病毒主机的MAC地址。
　　使用NBTSCAN可以取到PC的真实IP地址、机器名和MAC地址，可以找到病毒主机的IP、机器名和MAC地址，ARP欺骗的主机。
　　命令："nbtscan -r 192.168.2.0/24"(搜索整个192.168.2.0/24网段,输出结果第一列是IP地址，最后一列是MAC地址。