如果您的网络出现,整体突然掉线,或者有不定时的部分机器掉线,再或者出现一台一台机器的掉线.而且一般情况下几种掉线都会自动恢复.那基本是ARP欺骗.
ARP欺骗原理:
在同一NET内的所以机器是通过MAC地址通讯。方法为,PC和另一台设备通讯,PC会先寻找对方的IP地址,然后在通过ARP表(ARP表里面有所以可以通讯IP和IP所对应的MAC地址)调出相应的MAC地址。通过MAC地址与对方通讯。也就是说在内网中各设备互相寻找和用来通讯的地址是MAC地址,而不是IP地址。
网内的任何一台机器都可以轻松的发送ARP广播,来宣称自己的IP和自己的MAC。这样收到的机器都会在自己的ARP表格中建立一个他的ARP项,记录他的IP和MAC地址。如果这个广播是错误的其他机器也会接受。例如: 192.168.1.11机器MAC是 00:00:00:11:11:11,他在内网广播自己的IP地址是192.168.1.254(其实是路由器的IP),MAC地址是00:00:00:11:11:11(他自己的真实MAC).这样大家会把给192.168.1.254的信息和发给00:00:00:11:11:11.也就是192.168.1.11。
解决办法:
1. 用sniffer或etherpeek软件查看,找出经常发包的mac地址。(这个mac地址特点是:多数客户端的arp表中都有这个记录,而且其ip是网关的地址)
2. 到网关上查看网关的mac地址是否就是这个mac地址。如果是,则不是arp中毒;如果不是,那就可以确定中了arp病毒,并继续下面的步骤
3.. 到交换机中查看mac缓存。用#show mac-address-table命令(这个命令是思科交换机的),找出这个mac地址对应的端口,然后拔掉这个接口网线,以解决断网问题并确定是哪台计算机。
