Cisco認證-上網(wǎng)故障別總拿ARP欺騙病毒說事

Cisco認證:上網(wǎng)故障別總拿ARP欺騙病毒說事一，ARP哄騙的特征：

ARP哄騙的特征就是本機網(wǎng)關(guān)對應(yīng)的地址信息被哄騙，原來正確的地址被非法哄騙者篡改，非法哄騙者自己充當網(wǎng)關(guān)來到達ARP哄騙的目的。在有問題計算機上通過arp-a查詢ARP緩存表會發(fā)覺網(wǎng)關(guān)IP地址對應(yīng)的MAC地址和正常時不同，正確的網(wǎng)關(guān)MAC地址被篡改。

總的來說網(wǎng)關(guān)MAC地址與正常地址不同是ARP哄騙的特征，一旦確認此點就可以斷定內(nèi)網(wǎng)中存在ARP哄騙病毒。

二，巧推斷為ARP哄騙平反：

既然我們知道了ARP哄騙病毒的特征是MAC地址的偽造，那么我們就可以通過查詢正確的網(wǎng)關(guān)對應(yīng)的MAC地址來推斷內(nèi)網(wǎng)是否感染了ARP哄騙病毒。一般來說對于中小企業(yè)網(wǎng)關(guān)設(shè)備可以分為路由交換設(shè)備以及效勞器(單機)。假如企業(yè)直接通過路由器轉(zhuǎn)發(fā)數(shù)據(jù)的話網(wǎng)關(guān)地址應(yīng)當是網(wǎng)絡(luò)連接的接口IP地址，假如是通過代理或單機防火墻訪問外網(wǎng)的話，網(wǎng)關(guān)地址應(yīng)當是那臺網(wǎng)關(guān)效勞器。下面我們依次來講解如何查詢這些設(shè)備的正確網(wǎng)關(guān)MAC地址。

(1)路由交換設(shè)備上端口MAC地址的查詢：

對于路由交換設(shè)備來說自身會有許多個端口，每個端口都對應(yīng)一個MAC地址，因此我們首先要確定的是內(nèi)網(wǎng)設(shè)備連接的是哪個端口，確定了詳細端口后我們才能夠到路由交換設(shè)備治理界面中去查詢端口的真實MAC地址。詳細命令如下——

首先進入路由交換設(shè)備治理界面，然后進入相應(yīng)的端口，執(zhí)行displayinterface。例如我們要查詢ethernet0接口的相關(guān)地址信息，就要先執(zhí)行intethernet0進入以太0接口，然后執(zhí)行displayinterface來查詢接口信息，在顯示出來的列表中我們可以看到hardwareaddressis00-0f-e2-30-6b-84的字樣，這里的00-0f-e2-30-6b-84就是該端口對應(yīng)的MAC地址。固然假如不能確定的話我們也可以依據(jù)internetaddress后的IP地址信息來推斷是否就是我們需要的網(wǎng)關(guān)地址。

(2)效勞器作為網(wǎng)關(guān)MAC地址的查詢：

假如網(wǎng)關(guān)是效勞器或者單獨主機設(shè)備的話查詢網(wǎng)關(guān)MAC地址要簡潔一些，我們只需要在“開頭”->“運行”->“輸入CMD回車”進入命令提示窗口，然后在命令行窗口中輸入ipconfig/all查看本機網(wǎng)絡(luò)參數(shù)信息，在顯示的地址信息處有一行physicaladdress，其后排列的就是效勞器作為網(wǎng)關(guān)的MAC地址信息。

(3)巧推斷為ARP哄騙平反：

確定了網(wǎng)關(guān)的MAC地址后我們就要來推斷究竟內(nèi)網(wǎng)故障是否真的是由ARP哄騙病毒引起的，在任何一臺機器上或者特地找存在問題主機上通過“開頭”->“運行”->“輸入CMD回車”進入命令提示窗口，然后執(zhí)行arp-a命令，在這里我們將看到本機排列出的全部ARP緩存表信息。查看網(wǎng)關(guān)IP地址對應(yīng)的MAC地址，確認他是否和我們之前查詢到的網(wǎng)關(guān)MAC地址全都，假如一樣的話說明內(nèi)網(wǎng)沒有感染ARP哄騙病毒，假如不同則說明虛假MAC地址那臺計算機感染了ARP哄騙病毒。

三，總結(jié)：

并不是全部的內(nèi)網(wǎng)上網(wǎng)故障都是由ARP哄騙病毒引起的，筆者接觸到許多網(wǎng)絡(luò)治理人員動不動就拿ARP哄騙病毒說事，筆者盼望本文可以幫忙網(wǎng)管快速定位故障，不要以為ARP哄騙病毒是內(nèi)網(wǎng)故障的，要知道其他病毒，黑客入侵，驅(qū)動