常见问题 IP-COM无线网卡的常见问题>>

出现arp欺骗导致网络掉线问题分析

发布时间:2010-11-01 17:12:52

答案:

故障现象:客户反映单位的五台电脑接在619s路由器下最近会出现掉线的现象,客户以为是路由器坏了,拿去换了一台,可故障依旧,于是打电话给Tenda客服求助

解决办法:首先ping路由器,ping不通,把路由器电源插拔重启后,通了一下,马上又不通了.然后在客户电脑上安装抓包软件ethereal,抓到如下图所示的包,发现路由器和其它电脑的mac都被欺骗成了 00-10-dc-f9-04-e3,这是典型的arp欺骗,电脑发给路由器的数据,由于路由器的mac地址被欺骗了,而发不到路由器那,就出现了上述的ping不通路由器的情况.在每台电脑上运行ipconfig /all命令,找到了mac为00-10-dc-f9-04-e3的这台电脑,将这电脑的网线拔出后,网络马上恢复正常(如图二,路由器和其它电脑的mac恢复正常)。

图一 存在arp欺骗,无法正常上网

图二 恢复正常后

什么是arp欺骗?ARP欺骗指的是局域网内的某台(某些)电脑,冒充路由器的IP地址,对别的电脑发送一个虚假的mac地址,从而造成其它电脑和路由器之间失去连接,而发生掉线现象。

例如:路由器的ip是192。168。0。1 mac是 00-11-22-33-44-01

局域网内电脑A的ip是192。168。0。2 mac是00-11-22-33-44-02

局域网内电脑B的ip是192。168。0。3 mac是00-11-22-33-44-03

正常情况下它们都是通过mac进行通信的,如路由器(192。168。0。1)会发广播说它的mac是00-11-22-33-44-01 ,这时电脑A和B得到的是路由器正确的mac地址,这时就能正常上网。

存在arp欺骗的情况下:假定电脑A中了某病毒,它会象局域网发送arp欺骗信息,如192.168.0.1的mac是00-11-22-33-44-02,这种情况就是它在冒充路由器发了说‘路由器的mac地址是00-11-22-33-44-02’,这时电脑B收到信息后误以为那就是路由器的mac地址,通过其访问外网,但数据都发到了A电脑这边,A电脑不是路由器,于是就发生了掉线现象。电脑出现arp欺骗,通常是为一些木马服务的,目的是盗号或破坏网络。

小结:象上述局域网中某电脑故障,导致网络掉线的

的现象出现得很多,而很多客户通常会认为掉线就是

路由器的原因,这让我们的路由器背了不少黑锅。为

了便于客户及时分析解决问题,下面给处一些简单的解决办法:

1 出现arp欺骗通常会出现一些症状,就是一

个局域网里的大部分电脑都掉线了,但有一两台电脑

还能继续上网。出现这种情况,一般是一直能正常上

的电脑,会发arp欺骗包出来,只要把这一两台电脑的

网线拔了,网络即可恢复正常。然后在把出问题的电

脑查杀病毒或重装系统,就可以解决问题。

2 有时网络中电脑的数量比较多,出现掉线

后,客户以为是路由器当机了,就把路由器的电

源插拔一下,然后又能上一会,但过会又会掉

线。其实出现这种情况,通常路由器并没有当

机,插拔电源相当于是让路由器和电脑重新更新

mac地址表,更新后又能上一会,但过会路由器

的mac又被发arp欺骗包的电脑欺骗,导致掉线。

这个可以这样解决,出现故障时,用局域网中的

某台电脑一直ping外网,然后把和路由器级联的

交换机网线一根一根的拔掉,每拔一根稍微观察

两分钟,看网络是否恢复正常了,如果拔掉某个

交换机的网线,网络恢复正常了,则是这个交换

机下面的某台电脑有问题,然后把级联线插好

后,再一根一根的拔这个交换机下电脑的网线,

就可以查出具体是那台电脑引起的问题。

本FAQ适用范围

下一步您可以:
查看IP-COM无线网卡产品 >>
查看无线网卡产品 >>
查看IP-COM无线网卡常见问题 >>