2024年3月20日发(作者:)

关键字:无法上网、ARP

摘要:某客户单位投诉网络故障,无法正常上网。客户单位网管人员无法处理,认定为网络问

题,故发起投诉。我部接投诉后运维人员立即前往现场调查,了解调查后给出结论为用户网络内存

在ARP类病毒。协助用户处置后网络回复正常。

案例正文:

背景(接客户投诉网络故障)

(xx年x月x日,接某客户单位投诉网络故障,互联经常断网。强烈要求我公司到现场处理

故障。我部接投诉后网络维护人员立即前往现场调查。)

问题、事件描述(客户网无法正常使用)

(到现场后了解到,客户单位内电脑会不时断网,但不是全部电脑都同时不能上网。不能上网

的电脑在不能上网时,有时候也能ping通网关。)

分析与对策(调查发现用户内网遭受ARP攻击)

(1-不会所有电脑同时全部断网,说明我公司提的供互联网线路正常,问题出在客户内网。

2-不能上网的电脑有时能ping通网关,初步排除线路设备问题。

3-深入调查不能上网的电脑,发现网关MAC地址会改变,这说明用户的网关发生了改变。初

步怀疑客户内网有多个同IP段的网关,可能是客户单位内人员乱接路由器引起(因为之前某酒店

内网就多次发生乱接路由器引起网络异常)。

4-但客户网管表示,他们已经排查过,网内并无其他路由器,只有1台机房内现在使用的路

由器。

1

5-既然排除乱接路由器的可能,那网关MAC地址会改变,那很可能就是网关被劫持了。这些

不能上网的电脑非常大的可能是遭到ARP攻击。

6-首先建议客户网管先给所有电脑安装能够防止ARP病毒的杀毒软件。并且打开网关路由器

的ARP攻击防护。但我公司维护人员随即发现客户机房的网关路由器比较老旧低端,没有ARP

攻击防护功能。)

处理结果(客户网络恢复,上网正常。)

(因客户路由器没有ARP攻击防护功能,我公司维护人员只能记录客户电脑网关MAC发生

改变时的所有MAC。并扫描客户内网获取所有电脑MAC、内网IP、计算机名。把所有劫持网关

的MAC和内网所有电脑的MAC匹配,找出是那些电脑在发起ARP攻击。并协助客户先对这部

分电脑安装防火墙杀毒。随着处理,用户网络中断情况逐渐好转,直至最后恢复正常。)

经验教训及推广

(Windows系统中按Windows图标键+r 进入DOS命令行。“arp –a”命令可以查看网关

MAC,但有些版本的Windows需要先运行“arp -d”清理arp列表,或者ping网关一下,才能

看见网关MAC。家庭版的Windows不能运行“arp –a”命令查看网关MAC。

反复运行“arp -d”、“arp –a”发现网关MAC变换、或者发现网关MAC和其他电脑MAC

相同就能初步判断电脑整遭受ARP攻击。

“arp –s ip地址 mac地址 ”可以手动暂时指定目标IP的MAC。)

2