关闭>>  
扫一扫 有惊喜
  • 产品名:NE20E-X6
  • 促销价:电议/面议
天宇知识:出现arp欺骗导致网络掉线问题分析
故障现象:客户反映单位的五台电脑接在619s路由器下最近会出现掉线的现象,客户以为是路由器坏了,拿去换了一台,可故障依旧,于是打电话给IP-COM客服求助。 

解决办法:首先ping路由器,ping不通,把路由器电源插拔重启后,通了一下,马上又不通了.然后在客户电脑上安装抓包软件ethereal,抓到如下图所示的包,发现路由器和其它电脑的mac都被欺骗成了 00-10-dc-f9-04-e3,这是典型的arp欺骗,电脑发给路由器的数据,由于路由器的mac地址被欺骗了,而发不到路由器那,就出现了上述的ping不通路由器的情况.在每台电脑上运行ipconfig /all命令,找到了mac为00-10-dc-f9-04-e3的这台电脑,将这电脑的网线拔出后,网络马上恢复正常(如图二,路由器和其它电脑的mac恢复正常)。  
  

图一 存在arp欺骗,无法正常上网  
  

图二 恢复正常后 
  
什么是arp欺骗?ARP欺骗指的是局域网内的某台(某些)电脑,冒充路由器的IP地址,对别的电脑发送一个虚假的mac地址,从而造成其它电脑和路由器之间失去连接,而发生掉线现象。 
 例如:路由器的ip是192。168。0。1 mac是 00-11-22-33-44-01 
局域网内电脑A的ip是192。168。0。2 mac是00-11-22-33-44-02 
局域网内电脑B的ip是192。168。0。3 mac是00-11-22-33-44-03 
 正常情况下它们都是通过mac进行通信的,如路由器(192。168。0。1)会发广播说它的mac是00-11-22-33-44-01 ,这时电脑A和B得到的是路由器正确的mac地址,这时就能正常上网。 
 存在arp欺骗的情况下:假定电脑A中了某病毒,它会象局域网发送arp欺骗信息,如192.168.0.1的mac是00-11-22-33-44-02,这种情况就是它在冒充路由器发了说‘路由器的mac地址是00-11-22-33-44-02’,这时电脑B收到信息后误以为那就是路由器的mac地址,通过其访问外网,但数据都发到了A电脑这边,A电脑不是路由器,于是就发生了掉线现象。电脑出现arp欺骗,通常是为一些木马服务的,目的是盗号或破坏网络。 

小结:象上述局域网中某电脑故障,导致网络掉线的 

的现象出现得很多,而很多客户通常会认为掉线就是 

路由器的原因,这让我们的路由器背了不少黑锅。为 

了便于客户及时分析解决问题,下面给处一些简单的解决办法: 

1. 出现arp欺骗通常会出现一些症状,就是一 

个局域网里的大部分电脑都掉线了,但有一两台电脑 

还能继续上网。出现这种情况,一般是一直能正常上 

的电脑,会发arp欺骗包出来,只要把这一两台电脑的 

网线拔了,网络即可恢复正常。然后在把出问题的电 

脑查杀病毒或重装系统,就可以解决问题。 

2. 有时网络中电脑的数量比较多,出现掉线 

后,客户以为是路由器当机了,就把路由器的电 

源插拔一下,然后又能上一会,但过会又会掉 

线。其实出现这种情况,通常路由器并没有当 

机,插拔电源相当于是让路由器和电脑重新更新 

 mac地址表,更新后又能上一会,但过会路由器 

的mac又被发arp欺骗包的电脑欺骗,导致掉线。 

这个可以这样解决,出现故障时,用局域网中的 

某台电脑一直ping外网,然后把和路由器级联的 

交换机网线一根一根的拔掉,每拔一根稍微观察 

两分钟,看网络是否恢复正常了,如果拔掉某个 

交换机的网线,网络恢复正常了,则是这个交换 

机下面的某台电脑有问题,然后把级联线插好 

后,再一根一根的拔这个交换机下电脑的网线, 

就可以查出具体是那台电脑引起的问题。