众所周知,ARP攻击日益猖獗,局域网中常出现局部或整体掉线、IP地址冲突等问题,网速也变得极不稳定,时快时慢,严重干扰了正常网络通信。ARP欺骗的危害广为人知,那么如何排查此类问题?本期将为您详细介绍解决方法。
1、 首先判断是否遭受ARP病毒攻击。
2、 如果上网速度明显变慢或突然掉线,可能是ARP欺骗导致的。可以使用arp -a命令检查ARP表:点击按钮,选择,输入cmd并点击,然后在命令行窗口中输入arp -a。若发现网关MAC地址异常变化,或多个IP指向同一物理地址,基本可判定为ARP攻击。此时可通过arp -d命令清除ARP列表,并重新访问网络以恢复正常连接。
3、 使用ARP防护软件,例如360ARP防火墙或AntiARPSniffer进行防护。
4、 Windows 7(Vista)系统中的命令有所不同,具体可参照相关资料。
5、 二、定位ARP病毒主机
6、 使用arp -d命令仅能临时缓解上网故障,若要彻底解决,必须定位到感染病毒的主机。通过arp -a命令,可以发现被篡改的网关MAC地址,或者多个IP指向的同一物理地址,这通常是病毒主机的MAC地址。但如何确定哪台设备对应这个MAC地址?在Windows中,可用ipconfig /all命令查看单台设备的信息。然而,当网络中有大量电脑时,逐一排查效率低下。此时,可借助一款名为NBTSCAN的工具软件,它能够快速扫描局域网内所有PC的真实IP地址与对应的MAC地址,从而帮助我们精准定位问题主机。
7、 如果没有这个软件该怎么办?可以在客户机上运行路由跟踪命令,例如:tracert -d www.163.com。此时会发现第一条显示的并非网关的内网 IP,而是本网络段中另一台设备的 IP 地址,下一跳才是网关的内网 IP。通常情况下,路由跟踪命令输出的第一条应为默认网关地址。因此,可以通过判断第一跳中非网关的 IP 地址,确认这台主机就是引起问题的原因所在。
8、 找到IP后,下一步是确定该IP对应的电脑。如果每台电脑都有编号,并且使用固定IP,设置也有规律,那就很容易定位。但若非如此,IP分配无规律或为动态获取,是否只能逐一排查?其实不必!可以将某台机器的IP改为与目标机相同,制造IP冲突。这样一来,中毒主机因IP冲突会发出警告,从而暴露位置,方便快速找到问题设备。这种方法简单高效,能节省大量时间。
9、 第三步,处理感染病毒的主机。
11、 建议重新安装系统,彻底解决问题(注意检查系统盘外的其他磁盘是否含有病毒)。
