- 出现arp欺骗导致网络掉线问题分析
-
发布时间:2010-11-08 11:36:22
发布时间:2010-11-08 11:36:22
故障现象:客户反映单位的五台电脑接在619s路由器下最近会出现掉线的现象,客户以为是路由器坏了,拿去换了一台,可故障依旧,于是打电话给Tenda客服求助。
解决办法:首先ping路由器,ping不通,把路由器电源插拔重启后,通了一下,马上又不通了.然后在客户电脑上安装抓包软件ethereal,抓到如下图所示的包,发现路由器和其它电脑的mac都被欺骗成了 00-10-dc-f9-04-e3,这是典型的arp欺骗,电脑发给路由器的数据,由于路由器的mac地址被欺骗了,而发不到路由器那,就出现了上述的ping不通路由器的情况.在每台电脑上运行ipconfig /all命令,找到了mac为00-10-dc-f9-04-e3的这台电脑,将这电脑的网线拔出后,网络马上恢复正常(如图二,路由器和其它电脑的mac恢复正常)。
图一 存在arp欺骗,无法正常上网
图二 恢复正常后
什么是arp欺骗?ARP欺骗指的是局域网内的某台(某些)电脑,冒充路由器的IP地址,对别的电脑发送一个虚假的mac地址,从而造成其它电脑和路由器之间失去连接,而发生掉线现象。
例如:路由器的ip是192。168。0。1 mac是 00-11-22-33-44-01
局域网内电脑A的ip是192。168。0。2 mac是00-11-22-33-44-02
局域网内电脑B的ip是192。168。0。3 mac是00-11-22-33-44-03
正常情况下它们都是通过mac进行通信的,如路由器(192。168。0。1)会发广播说它的mac是00-11-22-33-44-01 ,这时电脑A和B得到的是路由器正确的mac地址,这时就能正常上网。
存在arp欺骗的情况下:假定电脑A中了某病毒,它会象局域网发送arp欺骗信息,如192.168.0.1的mac是00-11-22-33-44-02,这种情况就是它在冒充路由器发了说‘路由器的mac地址是00-11-22-33-44-
小结:象上述局域网中某电脑故障,导致网络掉线的
的现象出现得很多,而很多客户通常会认为掉线就是
路由器的原因,这让我们的路由器背了不少黑锅。为
了便于客户及时分析解决问题,下面给处一些简单的解决办法:
1. 出现arp欺骗通常会出现一些症状,就是一
个局域网里的大部分电脑都掉线了,但有一两台电脑
还能继续上网。出现这种情况,一般是一直能正常上
的电脑,会发arp欺骗包出来,只要把这一两台电脑的
网线拔了,网络即可恢复正常。然后在把出问题的电
脑查杀病毒或重装系统,就可以解决问题。
2. 有时网络中电脑的数量比较多,出现掉线
后,客户以为是路由器当机了,就把路由器的电
源插拔一下,然后又能上一会,但过会又会掉
线。其实出现这种情况,通常路由器并没有当
机,插拔电源相当于是让路由器和电脑重新更新
mac地址表,更新后又能上一会,但过会路由器
的mac又被发arp欺骗包的电脑欺骗,导致掉线。
这个可以这样解决,出现故障时,用局域网中的
某台电脑一直ping外网,然后把和路由器级联的
交换机网线一根一根的拔掉,每拔一根稍微观察
两分钟,看网络是否恢复正常了,如果拔掉某个
交换机的网线,网络恢复正常了,则是这个交换
机下面的某台电脑有问题,然后把级联线插好
后,再一根一根的拔这个交换机下电脑的网线,
就可以查出具体是那台电脑引起的问题。