引言：ARP攻擊是通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，造成網(wǎng)絡(luò)中斷或中間人攻擊。本文介紹的網(wǎng)絡(luò)故障，是由于某終端用戶(hù)擅自將IP地址改成了10.148.36.254網(wǎng)關(guān)地址，造成了模擬ARP病毒攻擊的現(xiàn)象，導(dǎo)致網(wǎng)絡(luò)故障。下面介紹查找偽裝客戶(hù)端的排查過(guò)程。

二層網(wǎng)絡(luò)是一個(gè)廣播域，ARP攻擊就是通過(guò)偽造IP地址和MAC地址實(shí)現(xiàn)ARP欺騙，能夠在網(wǎng)絡(luò)中產(chǎn)生大量的ARP通信量使網(wǎng)絡(luò)阻塞，攻擊者只要持續(xù)不斷地發(fā)出偽造的ARP響應(yīng)包，就能更改目標(biāo)主機(jī)ARP緩存中的IP-MAC條目，造成網(wǎng)絡(luò)中斷或中間人攻擊。

ARP攻擊主要是存在于局域網(wǎng)網(wǎng)絡(luò)中，局域網(wǎng)中若有一臺(tái)計(jì)算機(jī)感染ARP木馬，則感染該ARP木馬的系統(tǒng)將會(huì)試圖通過(guò)“ARP欺騙”手段截獲所在網(wǎng)絡(luò)內(nèi)其他計(jì)算機(jī)的通信信息，并因此造成網(wǎng)內(nèi)其他計(jì)算機(jī)的通信故障。

故障現(xiàn)象

某園區(qū)網(wǎng)絡(luò)不通，無(wú)法訪問(wèn)網(wǎng)頁(yè)等應(yīng)用系統(tǒng)，而匯聚交換機(jī)和局部接入交換機(jī)（不同VLAN）交換機(jī)仍然能夠被正常訪問(wèn)。網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

圖2 查找網(wǎng)關(guān)地址

圖3 網(wǎng)關(guān)實(shí)際地址

故障排查

初步判斷故障非硬件故障，而是存在于故障所處的VLAN內(nèi)部。鑒于前幾天該網(wǎng)段一直穩(wěn)定運(yùn)行，網(wǎng)絡(luò)結(jié)構(gòu)未曾改動(dòng)，而且沒(méi)有新增交換機(jī)設(shè)備。因此，網(wǎng)絡(luò)內(nèi)發(fā)生ARP攻擊的概率極大。我們以此為據(jù)，開(kāi)展故障排查工作。

1.通過(guò)故障計(jì)算機(jī)的ARP表查找網(wǎng)關(guān)的MAC地 址 b8-ac-6f-42-dc-08（如圖 2）。

2.在網(wǎng)關(guān)所在的匯聚交換機(jī)上查找到網(wǎng)關(guān)的真實(shí)MAC地址 d8-49-0b-90-d4-30。發(fā)現(xiàn)兩者不一致，判斷有偽造網(wǎng)關(guān)的客戶(hù)端（如圖 3）。

3.在網(wǎng)關(guān)所在的匯聚交換機(jī)上，依據(jù)MAC地址，查找假網(wǎng)關(guān)所在交換機(jī)端口。

4.通過(guò)鄰居發(fā)現(xiàn)協(xié)議，發(fā)現(xiàn)偽裝網(wǎng)關(guān)的客戶(hù)端在某接入交換機(jī)上。

5.在binhaiscjd1_S3700交換機(jī)上查找假網(wǎng)關(guān)MAC，發(fā)現(xiàn)偽裝客戶(hù)端在其46號(hào)口（如圖4）。

6.最終查找到這臺(tái)電腦。經(jīng)檢查發(fā)現(xiàn)，它的IP地址被改成了10.148.36.254 網(wǎng)關(guān)地址，因此造成了模擬ARP病毒攻擊的現(xiàn)象。在更換正確的IP地址后，該VLAN所屬網(wǎng)絡(luò)段全部恢復(fù)正常。

故障分析

1.在配置客戶(hù)端IP地址時(shí)，未通過(guò)網(wǎng)絡(luò)管理員準(zhǔn)確核實(shí)，導(dǎo)致配置錯(cuò)誤。

圖4 查找偽裝客戶(hù)端

2.使用者在客戶(hù)端配置完錯(cuò)誤地址后，桌面上也曾彈出地址沖突，但并引起他的重視，從而未及時(shí)與網(wǎng)絡(luò)管理員聯(lián)系，導(dǎo)致了整個(gè)局域網(wǎng)無(wú)法跨越網(wǎng)關(guān)訪問(wèn)應(yīng)用。

經(jīng)驗(yàn)總結(jié)

在局域網(wǎng)中無(wú)法訪問(wèn)外部網(wǎng)絡(luò)，首先應(yīng)判斷客戶(hù)端是否能到達(dá)網(wǎng)關(guān)，若無(wú)法到達(dá)網(wǎng)關(guān)，則需要檢查接入交換機(jī)是否配置正確。若能到達(dá)網(wǎng)關(guān)，則說(shuō)明路由正確。然后再排查ARP表，看是否有病毒或者ARP欺騙，通過(guò)MAC地址定位到出問(wèn)題客戶(hù)端，解決問(wèn)題。

同時(shí)，我們還必須加強(qiáng)信息網(wǎng)絡(luò)安全宣貫，嚴(yán)禁未經(jīng)許可隨意改變計(jì)算機(jī)網(wǎng)絡(luò)配置，引起類(lèi)似網(wǎng)絡(luò)故障，影響整個(gè)網(wǎng)絡(luò)的運(yùn)行。