別總拿ARP欺騙病毒說事

一，ARP欺騙的特征：

ARP欺騙的特征就是本機網關對應的地址信息被欺騙，原來正確的地址被非法欺騙者篡改，非法欺騙者自己充當網關來達到ARP欺騙的目的。在有問題計算機上通過arp-a查詢ARP緩存表會發現網關IP地址對應的MAC地址和正常時不同，正確的網關MAC地址被篡改。

總的來說網關MAC地址與正常地址不同是ARP欺騙的最大特征，一旦確認此點就可以斷定內網中存在ARP欺騙病毒。

二，巧判斷為ARP欺騙平反：

既然我們知道了ARP欺騙病毒的最大特征是MAC地址的偽造，那麼我們就可以通過查詢正確的網關對應的MAC地址來判斷內網是否感染了ARP欺騙 病毒。一般來說對於中小企業網關設備可以分為路由交換設備以及服務器(單機)。如果企業直接通過路由器轉發數據的話網關地址應該是網絡連接的接口IP地 址，如果是通過代理或單機防火牆訪問外網的話，網關地址應該是那台網關服務器。下面我們依次來講解如何查詢這些設備的正確網關MAC地址。

(1)路由交換設備上端口MAC地址的查詢：

對於路由交換設備來說自身會有很多個端口，每個端口都對應一個MAC地址，因此我們首先要確定的是內網設備連接的是哪個端口，確定了具體端口後我們才能夠到路由交換設備管理界面中去查詢端口的真實MAC地址。具體命令如下——

首先進入路由交換設備管理界面，然後進入相應的端口，執行displayinterface。例如我們要查詢ethernet0接口的相關地址信 息，就要先執行intethernet0進入以太0接口，然後執行displayinterface來查詢接口信息，在顯示出來的列表中我們可以看到 hardwareaddressis00-0f-e2-30-6b-84的字樣，這裡的00-0f-e2-30-6b-84就是該端口對應的MAC地址。 當然如果不能確定的話我們也可以根據internetaddress後的IP地址信息來判斷是否就是我們需要的網關地址。(如圖1)

(2)服務器作為網關MAC地址的查詢：

如果網關是服務器或者單獨主機設備的話查詢網關MAC地址要簡單一些，我們只需要在“開始”->“運行”->“輸入CMD回車”進入 命令提示窗口，然後在命令行窗口中輸入ipconfig/all查看本機網絡參數信息，在顯示的地址信息處有一行physicaladdress，其後羅 列的就是服務器作為網關的MAC地址信息。(如圖2)

(3)巧判斷為ARP欺騙平反：

確定了網關的MAC地址後我們就要來判斷到底內網故障是否真的是由ARP欺騙病毒引起的，在任何一台機器上或者專門找存在問題主機上通過“開 始”->“運行”->“輸入CMD回車”進入命令提示窗口，然後執行arp-a命令，在這裡我們將看到本機羅列出的所有ARP緩存表信息。查 看網關IP地址對應的MAC地址，確認他是否和我們之前查詢到的網關MAC地址一致，如果相同的話說明內網沒有感染ARP欺騙病毒，如果不同則說明虛假 MAC地址那台計算機感染了ARP欺騙病毒。(如圖3)

三，總結：

並不是所有的內網上網故障都是由ARP欺騙病毒引起的，筆者接觸到很多網絡管理人員動不動就拿ARP欺騙病毒說事，筆者希望本文可以幫助網管快速 定位故障，不要以為ARP欺騙病毒是內網故障的締造者，要知道其他病毒，黑客入侵，驅動故障等問題也會造成內網上網故障，希望各位管理人員不要反復從 ARP欺騙下手解決所有故障問題，那樣只會走彎路，在故障排除時我們還是要保持一份平常冷靜的心。