ARP欺骗故障现象和解决方法

ARP欺骗现象和解决方法

ARP定义：

ARP是地址解析协议，是将ip地址转换成mac地址的协议。是一种广播包。

ARP表生成：

在主机的cmd命令窗口下，输入arp –a 可以看到所有的ip 和对应mac的信息

如：

ARP表如何生成：

例如：主机A想要和主机B通信，主机A会查找本地arp表，找到主机B的mac地址，然后进行传输。如果主机A没有找到主机B的mac地址，那么主机A就会发送一个arp广播包，主机B收到这个ARP广播包后，回复主机A它的mac地址。然后主机A就会在本地arp缓存表里，生成主机B的ip和mac地址信息。（该表现默认会保存300秒）

ARP欺骗

Arp欺骗有两种方式，一种是对网关的欺骗，一种是对pc的欺骗。

网关欺骗：通过不断发送错误的mac信息给网关，使真实的mac信息无法保存在路由器的arp表中，结果网关设备发送的数据都是错误的mac地址，导致正常的pc不能收到信息。Pc欺骗：攻击者可以伪造自己是网关，这样，pc发送的数据都到达了假的网关，不能通过正常的网关传输数据。

ARP故障现象

现象一：当局域网内某台主机感染了ARP病毒时，会向本局域网内所有主机发送ARP 欺骗攻击谎称自己是这个网端的网关设备，让原本流向网关的流量改道流向病毒主机，造成主机不能正常上网

现象二：局域网内有某些用户使用了ARP欺骗程序，发送ARP欺骗数据包，致使被攻击的电脑出现突然不能上网，过一段时间又能上网，反复掉线的现象。

ARP诊断

如果用户发现自己不能上网，或者网络时断时续，可以进行如下操作确定是否arp欺骗点击“开始”按钮->选择“运行”->输入“arp–d”->点击“确定”按钮，然后重新尝试上网，如果能恢复正常，则说明此次掉线可能是受ARP欺骗所致。

ARP –a 显示当前arp项

ARP –d 删除当前arp项

ARP处理

首先找出arp病毒源，

1、通过抓包软件，对抓包软件抓取到的数据分析，如果发现某个ip不停的发送arp

包，那么这个ip的主机就是arp病毒源。

2、在不能上网的主机的cmd窗口下，输入arp –a 查看不能上网的主机除了有相同

的网关的mac/ip信息外，是否还有其他一样的mac/ip地址信息,那么这个mac/ip

信息的设备就是arp病毒源。

3、第三种方法是在cmd窗口下输入tracert ，如果下一跳不是网关

的地址，那么下一跳的地址就是arp病毒源。

找到arp病毒源后，先把中arp病毒的主机断开网络，然后通过杀毒软件查找，并删除，如果是单独被arp病毒源攻击的主机，可以绑定网关ip/mac地址信息，然后再找出攻击源并做断网杀毒处理。