局域网ARP欺骗排查解决报告

上周四下午，单位网络故障，无法打开网页，关掉防火墙，路由器，重新起动，故障消失，这种事情由来已久，因为网络设计初期问题......

周五出现网络时断时续现象，一本科生告诉我可能是“ARP欺骗”所致，在DOS下，输入：arp -a 发现网关MAC地址与一台IP为192.168.0.9的主机MAC相同，找到该机后，断掉，网络恢复。

本以为事情就这么过去了，然而：

周一上班又出现网络时断时续、网速慢、上不去网……众人纷纷报告，搞得我相当郁闷，情急之下发现重新起动电脑故障就消失了，于是简单要求照做。晚上在家查找了相关资料，知道遇到ARP欺骗这种事情不好搞，并且找到了应急对策：

1、对网关做IP-MAC绑定

2、用MAC扫描器得到网内上网主机的IP-MAC对，记录下来以备后用

周二上班前做了网关地址绑定。一上午至下班前一小时无事，但我知道，这个ARP欺骗主机像幽灵躲在暗处，时刻窥探发动攻击的最佳时刻，不把它揪出来，早晚是个事儿！现在它没有出现，可能是因为故障主机的人没来不在单位，根本没开机！果然，下班前一个小时故障再次出现！然而单位70几台上网主机三个楼层，怎么查？！有人提出一个房间一个房间的断网排查，我否定的这种干扰正常工作秩序的方案，决定重新研究新对策。下载了一个AntiArpSniffer的工具进行监控，晚上回家在不安中睡去……

周三，也就是今天早上到单位，在两台监控的主机上发现如下“欺骗机MAC地址：00-11-**--**-**-2D”（由于此地址为物理网卡地址，具有全球唯一性，故隐去真实值），软件还报告了发生欺骗的时间和大概36次的欺骗次数！但却没有查出IP地址。8点半用MAC扫描器进行全网扫描，却未发现上述MAC地址。　9点15分，有机器报告不能上网，到现场，运行栏输入：arp –d 不用关机重起，可以上网，更确定是ARP病毒所致。10点05分再次用MAC扫描器，突然闪现了IP与MAC地址对应的主机！！！火速联系机主，对方反应这几天上网速度很慢，正想重装系统。告知事发原因，并验明他昨天上午到下班前一小时确实不在单位没有开机的事实，与网络自他归来后变得不稳定现象完全符合！经对方查验其MAC地址确实与扫描出的欺骗主机地址一致！！！事主重新格式化重装系统……

虽然找出了源头并采取的相应措施，但内心始终忐忑，网络安全任重道远啊……

一切尽在观察中……

处理步骤小结：
1、应急处理不能上网的主机，在运行栏里执行命令：arp –d
2、用AntiArpSniffer　3.5　监测网络
3、用MAC扫描器　找出主机IP地址
4、根据IP地址找到电脑，格式化，重装系统。
5、OVER

建议：
对整个网络做IP-MAC绑定。