如何排查内网ARP攻击造成的网络掉线

ARP攻击危害：众说周知，ARP攻击变得日益猖狂，局域网内频繁性区域或整体掉线、IP地址冲突；网速时快时慢。极其不稳定，严重影响了网络的正常通讯。
一、首先诊断是否为ARP病毒攻击
1、当发现上网明显变慢，或者突然掉线时，我们可以用arp-命令来检查ARP表：（点击“开始”按钮-选择“运行”-输入“cmd”点击"确定"按钮，在窗口中输入“arp-a”命令）如果发现网关的MAC地址发生了改变，或者发现有很多IP指向同一个物理地址，那么肯定就是ARP欺骗所致。
2、利用AntiARPSniffer软件查看（详细使用略）。

二、找出ARP病毒主机
1、用“arp –d”命令，只能临时解决上网问题，要从根本上解决问题，就得找到病毒主机。通过上面的arp –a命令，可以判定改变了的网关MAC地址或多个IP指向的物理地址，就是病毒机的MAC地址。哪么对应这个MAC地址的主机又是哪一台呢，windows中有ipconfig /all命令查看每台的信息，但如果电脑数目多话，一台台查下去不是办法，因此可以下载一个叫“NBTSCAN”的软件，它可以取到PC的真实IP地址和MAC地址。

命令：“nbtscan-r192.168.80.0/24”（搜索整个192.168.80.0/24网段,即192.168.80.1-192.168.80.254）；或“nbtscan192.168.80.25-137”搜索192.168.80.25-137网段，即192.168.80.25-192.168.80.137。输出结果第一列是IP地址，最后一列是MAC地址。这样就可找到病毒主机的IP地址。

2、如果手头一下没这个软件怎么办呢？这时也可在客户机运行路由跟踪命令如：tracert –d www.163.com，马上就发现第一条不是网关机的内网ip，而是本网段内的另外一台机器的IP，再下一跳才是网关的内网IP；正常情况是路由跟踪执行后的输出第一条应该是默认网关地址，由此判定第一跳的那个非网关IP地址的主机就是罪魁祸首。

当然找到了IP之后，接下来是要找到这个IP具体所对应的机子了，如果你每台电脑编了号，并使用固定IP，IP的设置也有规律的话，那么就很快找到了。但如果不是上面这种情况，IP设置又无规律，或者IP是动态获取的那该怎么办呢？难道还是要一个个去查？非也！你可以这样：把一台机器的IP地址设置成与作祟机相同的相同，然后造成IP地址冲突，使中毒主机报警然后找到这个主机。

三、处理病毒主机
1、用杀毒软件查毒，杀毒。

2、建议重装系统，一了百了。（当然你应注意除系统盘外其他盘有无病毒）

四、如何防范ARP病毒攻击
1、IP/MAC双向绑定
由于ARP病毒的种种网络特性，可以采用一些技术手段进行网络中ARP病毒欺骗数据包免疫。即便网络中有ARP中毒电脑，在发送欺骗的ARP数据包，其它电脑也不会修改自身的ARP缓存表，数据包始终发送给正确的网关，普遍使用的一种方式是“双向绑定法”。双向绑定法，顾名思义，就是要在两端绑定IP－MAC地址，其中一端是在路由器中，绑定下面局域网内部计算机的IP和MAC地址，具体步骤如下：
首先在路由器上绑定内网计算机，主要操作界面如下图：

点击上图中的扫描按钮，便可在路由器上绑定内网目前开启的计算机，如已绑定完所有需要上外网的PC机，便可把下面的“禁止未被IP/MAC地址绑定的主机通过”勾选。
另外一端则是局域网中的每个客户机，在客户端设置网关的静态ARP信息，这叫PC机IP-MAC绑定。
首先通过arp –a 查看正确的网关IP地址和MAC地址，如下图：

      其次用arp –s 网关IP地址 网关MAC地址的方式，在计算机上绑定，如下图：

在PC上绑定也可以按下面方法做：

1）首先，获得路由器的内网的MAC地址（例如网关地址172.16.1.254的MAC地址为0022aa0022ee）。

2）编写一个批处理文件rarp.bat内容如下：

@echooff

arp-d

arp-s172.16.1.25400-22-aa-00-22-ee

将文件中的网关IP地址和MAC地址更改为您自己的网关IP地址和MAC地址即可。将这个批处理软件拖到“windows--开始--程序--启动”中。

这样即减轻了一台台设置的麻烦，也避免了由于电脑重新启动使得数据又要重做的麻烦。当然最好电脑要有还原卡和保护系统，使得这个批处理不会被随意删除掉。

2、作为网络管理员，我认为应该充分利用一些工具软件，备一些常用的工具，就ARP而言，推荐在手头准备这样几个软件：

①“AntiARPSniffer”（使用AntiARPSniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包，并能查找攻击主机的IP及MAC地址）。

②“NBTSCAN”（NBTSCAN可以取到PC的真实IP地址和MAC地址，利用它可以知道局域网内每台IP对应的MAC地址）

③“网络执法官”（一款局域网管理辅助软件，采用网络底层协议，能穿透各客户端防火墙对网络中的每一台主机、交换机等配有IP的网络设备进行监控；采用网卡号（MAC）识别用户，主要功能是依据管理员为各主机限定的权限，实时监控整个局域网，并自动对非法用户进行管理，可将非法用户与网络中某些主机或整个网络隔离，而且无论局域网中的主机运行何种防火墙，都不能逃避监控，也不会引发防火墙警告，提高了网络安全性）

3、定时检查局域网病毒，对机器进行病毒扫描，平时给系统安装好补丁程序，最好是局域网内每台电脑保证有杀毒软件（可升级）

4、指导好网络内使用者不要随便点击打开QQ、MSN等聊天工具上发来的链接信息，不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件，外挂程序等。

5、建议对局域网的每一台电脑尽量作用固定IP，路由器不启用DHCP，对给网内的每一台电脑编一个号，每一个号对应一个唯一的IP，这样有利用以后故障的查询也方便管理。并利用“NBTSCAN”软件查出每一IP对应的MAC地址，建立一个“电脑编号-IP地址-MAC地址”一一对应的数据库。