網絡中(zhōng)有主機頻(pín)繁斷線，剛剛開(kāi)始還比較正常，但是一(yī)段時間後就出現斷線情況，有時很快恢複，但是有時要長達好幾分(fēn)鍾啊，這樣對工(gōng)作影響太大(dà)了。最初懷疑是否是物(wù)理上的錯誤，總之從最容易下(xià)手的東西開(kāi)始檢查，檢查完畢後沒有發現異常！突然想到目前網上比較流行的ARP攻擊，ARP攻擊出現的故障情況與此非常之相似！對于ARP攻擊，一(yī)般常規辦法是很難找出和判斷的，需要抓包分(fēn)析。

1.原理知(zhī)識

在解決問題之前，我(wǒ)們先了解下(xià)ARP的相關原理知(zhī)識。

 ARP原理：

      首先，每台主機都會在自己的ARP緩沖區(ARPCache)中(zhōng)建立一(yī)個ARP列表，以表示IP地址和MAC地址的對應關系。當源主機需要将一(yī)個數據包要發送到目的主機時，會首先檢查自己ARP列表中(zhōng)是否存在該IP地址對應的MAC地址，如果有﹐就直接将數據包發送到這個MAC地址；如果沒有，就向本地網段發起一(yī)個ARP請求的廣播包，查詢此目的主機對應的MAC地址。此ARP請求數據包裏包括源主機的IP地址、硬件地址、以及目的主機的IP地址。

      網絡中(zhōng)所有的主機收到這個ARP請求後，會檢查數據包中(zhōng)的目的IP是否和自己的IP地址一(yī)緻。如果不相同就忽略此數據包；如果相同，該主機首先将發送端的MAC地址和IP地址添加到自己的ARP列表中(zhōng)，如果ARP表中(zhōng)已經存在該IP的信息，則将其覆蓋，然後給源主機發送一(yī)個ARP響應數據包，告訴對方自己是它需要查找的MAC地址；源主機收到這個ARP響應數據包後，将得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中(zhōng)，并利用此信息開(kāi)始數據的傳輸。如果源主機一(yī)直沒有收到ARP響應數據包，表示ARP查詢失敗。

ARP欺騙原理：

 我(wǒ)們先模拟一(yī)個環境：

       網關：192.168.1.1 MAC地址：00:11:22:33:44:55欺騙主機A：192.168.1.100 MAC地址：00:11:22:33:44:66被欺騙主機B：192.168.1.50 MAC地址:00:11:22:33:44:77

       欺騙主機A不停的發送ARP應答包給網關，告訴網關他是192.168.1.50主機B，這樣網關就相信欺騙主機，并且在網關的ARP緩存表裏就有192.168.1.50對應的MAC就是欺騙主機A的MAC地址00:11:22:33:44:66，網關真正發給主機B的流量就轉發給主機A；另外(wài)主機A同時不停的向主機B發送ARP請求，主機B相信主機A爲網關，在主機B的緩存表裏有一(yī)條記錄爲192.168.1.1對應00:11:22:33:44:66，這樣主機B真正發送給網關的數據流量就會轉發到主機A；等于說主機A和網關之間的通訊就經過了主機A，主機A作爲了一(yī)個中(zhōng)間人在彼此之間進行轉發，這就是ARP欺騙。

2.解決方法

       看來隻有抓包了，首先，我(wǒ)将交換機做好端口鏡像設置，然後把安裝有科來網絡分(fēn)析系統的電腦接入鏡像端口，抓取網絡的所有數據進行分(fēn)析。通過幾個視圖我(wǒ)得出了分(fēn)析結果：診斷視圖提示有太多“ARP無請求應答”。

       在診斷中(zhōng)，我(wǒ)發現幾乎都是00:20:ED:AA:0D:04發起的大(dà)量ARP應答。而且在參考信息中(zhōng)提示說可能存在ARP欺騙。看來我(wǒ)的方向是走對了，但是爲了進一(yī)步确定，得結合其他内容信息。查看協議視圖了解ARP協議的詳細情況，

       ARPResponse和ARPRequest相差比例太大(dà)了，很不正常啊。接下(xià)來，再看看數據包的詳細情況。

       我(wǒ)從數據包信息已經看出問題了，00:20:ED:AA:0D:04在欺騙網絡中(zhōng)192.168.17.0這個網段的主機，應該是在告訴大(dà)家它是網關吧，想充當中(zhōng)間人的身份吧，被欺騙主機的通訊流量都跑到他那邊“被審核”了。

    現在基本确定爲ARP欺騙攻擊，現在我(wǒ)需要核查MAC地址的主機00:20:ED:AA:0D:04是哪台主機，幸好我(wǒ)在平時記錄了内部所有主機的MAC地址和主機對應表，終于給找出真兇主機了。可能上面中(zhōng)了ARP病毒，立即斷網殺毒。網絡正常了，嗚呼！整個世界又(yòu)安靜了！

 3.總結（故障原理）

       我(wǒ)們來回顧一(yī)下(xià)上面ARP攻擊過程。MAC地址爲00:20:ED:AA:0D:04的主機，掃描攻擊192.168.17.0這個網段的所有主機，并告之它就是網關，被欺騙主機的數據都發送到MAC地址爲00:20:ED:AA:0D:04的主機上去(qù)了，但是從我(wǒ)抓取的數據包中(zhōng)，MAC爲00:20:ED:AA:0D:04的主機并沒有欺騙真正的網關，所以我(wǒ)們的網絡會出現斷網現象。

4.補充内容

       對于ARP攻擊的故障，我(wǒ)們還是可以防範的，以下(xià)三種是常見的方法：

       方法一(yī)：平時做好每台主機的MAC地址記錄，出現狀況的時候，可以利用MAC地址掃描工(gōng)具掃描出當前網絡中(zhōng)主機的MAC地址對應情況，參照之前做好的記錄，也可以找出問題主機。

       方法二：ARP–S可在MS-DOS窗口下(xià)運行以下(xià)命令：ARP–S手工(gōng)綁定網關IP和網關MAC。靜态綁定，就可以盡可能的減少攻擊了。需要說明的是，手工(gōng)綁定在計算機重起後就會失效，需要再綁定，但是我(wǒ)們可以做一(yī)個批處理文件，可以減少一(yī)些煩瑣的手工(gōng)綁定！

       方法三：使用軟件（Antiarp）使用AntiARPSniffer可以防止利用ARP技術進行數據包截取以及防止利用ARP技術發送地址沖突數據包。