ARP攻擊故障的排查與解決

■ 青島 何歡

筆者遇到互聯網區域主機無法訪問互聯網或訪問時斷時續，互聯網區域主機Ping網關，會出現“請求超時”或Ping包回應極不穩定的情況，有時響應時間小于1ms，有時甚至會超過1000ms。

故障排查

1.進行電腦主機排查

在主機方面，排查網卡是否工作正常，通過網卡屬性，查看網卡收發包正常。通過Ping 127.0.0.1，發現網絡協議工作正常。

2.進行防火墻排查

登錄網關防火墻，發現設備工作正常，通過防火墻Ping外網網關，可以持續訪問，并且可以連通其公網地址，說明防火墻工作正常。

3.進行物理層排查

通過巡線，排查線纜有無斷裂，接頭及接口有無損壞等問題。經排查物理連接正常。

4.進行網絡層排查

在網絡層，發現Ping網關極不穩定，通過在CMD窗口輸入“arp -a”，發現網關的IP地址和MAC地址對應關系會發生變化，網關的IP地址不變，但是MAC地址會隨著時間而改變，登錄防火墻，查看防火墻內網網口的MAC地址，發現和主機ARP表中的MAC地址不同。

故障分析

通過上述工作可以看出，主機無法連接互聯網或者互聯網訪問時斷時續的原因，是由于網關MAC變化造成的。

主機要想通過網關連接互聯網，最重要的一點就是通過網關將數據包發送出去。主機和網關都屬于同一網段，而同一網段的數據發送是通過MAC地址尋址來實現的。如果出現MAC地址變更的情況，主機就會把數據包發送到錯誤的MAC地址，從而導致互聯網連接丟失。

故障解決

在CMD窗口輸入“arp -a”，找出病毒主機MAC地址，然后在交換機上通過“show mac address”命令，找出病毒主機所在端口，將其shutdown，然后在主機上通過“arp -s”命令將網關IP地址和MAC地址進行靜態對應，這樣關于網關的ARP信息就不會自動更新。最后將病毒主機進行殺毒并重新接入網絡，故障解決。

故障總結

造成這一現象的原因是在網絡中，有個別的主機中了ARP病毒，該主機會向網絡中發送ARP更新數據，將網關的IP地址和自己的MAC地址對應發送到網絡中。在Windows系統中，主機的ARP更新表會以最新數據為主。因此，正常主機接收到該數據后，會更新自己的ARP表，就會造成ARP表對應關系錯誤，導致數據包發送到了錯誤的主機而不是網關。