某集客专线ARP欺骗故障分析

某集客专线ARP欺骗故障分析
1、网络环境
该专线的网络环境比较简单，大体如下图所示：
办公电脑的网络为192.168.200.X/24，网关地址为192.168.200.254在华为S3528上，服务器的地址段为10.139.144.X/24。

2、故障现象
在办公区访问服务区时会时通时断的现象，办公电脑是通过DHCP来获取IP地址的。

当访问不通时，重新获取一下IP地址就可以连通，但是用一会又会出现访问中断。

3、故障分析
a 分析测试
出现故障时，我们PING服务器地址无法PING通，然后我们PING网管地址也无法PING 通。

通过查看办公电脑的ARP表发现网关地址对应的MAC地址为全0的MAC地址。

通过上面的分析测试我们可以了解到，当主机无法访问服务器时主机连网关都无法PING 通，而且网管的MAC地址全为0，即主机没有学习到网关的MAC地址，所以主机无法与网关进行通信，从而导致主机无法访问服务器。

b 抓包分析
本来正常连接时主机应该有网关IP地址和MAC地址的ARP映射表，但是在访问不成功时并没有学习到网关的MAC地址，造成故障的原因很大可能是ARP欺骗。

为了验证是否有ARP 欺骗，我们在交换机S3528上做端口镜像来抓取数据包，具体部署如下：
如上图所示，因为办公网络连到S3528的端口是f0/21，所以我们只镜像f0/21，该端口镜像到f0/25，然后把装有抓包分析工具的笔记本电脑连接到f0/25端口抓取数据包。

c 数据包分析
我们在对数据包进行分析时发现存在大量的IP冲突，如图所示：
通过抓包软件的诊断提示，发现产生IP地址冲突的源IP地址是故障网络的网关地址
通过观察上图，我们可以发现192.168.200.254对应的MAC地址有两个，一个是00:25:64:A8:74:AD，一个是00:1A:A2:87:D1:5A，通过具体的分析我们发现MAC地址为00:25:64:A8:74:AD的主机对应的IP地址为192.168.200.33，如图所示：
00:1A:A2:87:D1:5A才是192.168.200.254真实的MAC地址。

所以当办公区访问服务器不通时，我们PING网关地址不通，是因为办公电脑在向网关发送请求时请求的是错误的网关地址，网关没有响应主机的请求，从而导致足迹学习不到正确的MAC地址，如下图所示：
所以导致网络不通的原因就是由于192.168.200.33这台主机进行ARP欺骗造成的。

d 分析结论
通过上面的分析，可以看出MAC地址为00:25:64:A8:74:AD，IP地址为192.168.200.33的这台主机中了ARP病毒，将自己伪装成网关，欺骗网段内主机。

4、总结
对于ARP病毒，只要定位到病毒主机，我们就尅使用通过ARP专杀工具进行查杀来解决这类故障。

但是最好的办法就是能够在内网足迹安装上杀毒软件，并且及时的更新病毒库，同事给主机打上安全补丁，以便做好防范防止类似故障再次出现。