关键字:无法上网、ARP
摘要:某客户单位投诉网络故障,无法正常上网。客户单位网管人员无法处理,认定为网络问题,故发起投诉。我部接投诉后运维人员立即前往现场调查,了解调查后给出结论为用户网络内存在ARP类病毒。协助用户处置后网络回复正常。
案例正文:
背景(接客户投诉网络故障)
(xx年x月x日,接某客户单位投诉网络故障,互联经常断网。强烈要求我公司到现场处理故障。我部接投诉后网络维护人员立即前往现场调查。)
问题、事件描述(客户网无法正常使用)
(到现场后了解到,客户单位内电脑会不时断网,但不是全部电脑都同时不能上网。不能上网的电脑在不能上网时,有时候也能ping通网关。)
受到arp攻击分析与对策(调查发现用户内网遭受ARP攻击)
(1-不会所有电脑同时全部断网,说明我公司提的供互联网线路正常,问题出在客户内网。
2-不能上网的电脑有时能ping通网关,初步排除线路设备问题。
3-深入调查不能上网的电脑,发现网关MAC地址会改变,这说明用户的网关发生了改变。初步怀疑客户内网有多个同IP段的网关,可能是客户单位内人员乱接路由器引起(因为之前某酒店内网就多次发生乱接路由器引起网络异常)。
4-但客户网管表示,他们已经排查过,网内并无其他路由器,只有1台机房内现在使用的路由器。
5-既然排除乱接路由器的可能,那网关MAC地址会改变,那很可能就是网关被劫持了。这些不能上网的电脑非常大的可能是遭到ARP攻击。
6-首先建议客户网管先给所有电脑安装能够防止ARP病毒的杀毒软件。并且打开网关路由器的ARP攻击防护。但我公司维护人员随即发现客户机房的网关路由器比较老旧低端,没有ARP攻击防护功能。)
处理结果(客户网络恢复,上网正常。)
(因客户路由器没有ARP攻击防护功能,我公司维护人员只能记录客户电脑网关MAC发生改变时的所有MAC。并扫描客户内网获取所有电脑MAC、内网IP、计算机名。把所有劫持网关的MAC和内网所有电脑的MAC匹配,出是那些电脑在发起ARP攻击。并协助客户先对这部分电脑安装防火墙杀毒。随着处理,用户网络中断情况逐渐好转,直至最后恢复正常。)
经验教训及推广
(Windows系统中按Windows图标键+r 进入DOS命令行。“arp –a”命令可以查看网关MAC,但有些版本的Windows需要先运行“arp -d”清理arp列表,或者ping网关一下,才能看见网关MAC。家庭版的Windows不能运行“arp –a”命令查看网关MAC。
反复运行“arp -d”、“arp –a”发现网关MAC变换、或者发现网关MAC和其他电脑MAC相同就能初步判断电脑整遭受ARP攻击。
“arp –s ip地址 mac地址 ”可以手动暂时指定目标IP的MAC。)
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论