ARP攻击故障的排查与解决

■ 青岛 何欢

笔者遇到互联网区域主机无法访问互联网或访问时断时续，互联网区域主机Ping网关，会出现“请求超时”或Ping包回应极不稳定的情况，有时响应时间小于1ms，有时甚至会超过1000ms。

故障排查

1.进行电脑主机排查

在主机方面，排查网卡是否工作正常，通过网卡属性，查看网卡收发包正常。通过Ping 127.0.0.1，发现网络协议工作正常。

2.进行防火墙排查

登录网关防火墙，发现设备工作正常，通过防火墙Ping外网网关，可以持续访问，并且可以连通其公网地址，说明防火墙工作正常。

3.进行物理层排查

通过巡线，排查线缆有无断裂，接头及接口有无损坏等问题。经排查物理连接正常。

4.进行网络层排查

在网络层，发现Ping网关极不稳定，通过在CMD窗口输入“arp -a”，发现网关的IP地址和MAC地址对应关系会发生变化，网关的IP地址不变，但是MAC地址会随着时间而改变，登录防火墙，查看防火墙内网网口的MAC地址，发现和主机ARP表中的MAC地址不同。

故障分析

通过上述工作可以看出，主机无法连接互联网或者互联网访问时断时续的原因，是由于网关MAC变化造成的。

主机要想通过网关连接互联网，最重要的一点就是通过网关将数据包发送出去。主机和网关都属于同一网段，而同一网段的数据发送是通过MAC地址寻址来实现的。如果出现MAC地址变更的情况，主机就会把数据包发送到错误的MAC地址，从而导致互联网连接丢失。

故障解决

在CMD窗口输入“arp -a”，找出病毒主机MAC地址，然后在交换机上通过“show mac address”命令，找出病毒主机所在端口，将其shutdown，然后在主机上通过“arp -s”命令将网关IP地址和MAC地址进行静态对应，这样关于网关的ARP信息就不会自动更新。最后将病毒主机进行杀毒并重新接入网络，故障解决。

故障总结

造成这一现象的原因是在网络中，有个别的主机中了ARP病毒，该主机会向网络中发送ARP更新数据，将网关的IP地址和自己的MAC地址对应发送到网络中。在Windows系统中，主机的ARP更新表会以最新数据为主。因此，正常主机接收到该数据后，会更新自己的ARP表，就会造成ARP表对应关系错误，导致数据包发送到了错误的主机而不是网关。