ADSL上网典型故障解析(第二期):ARP病毒引发异常断网
数字办公
上手难度:★★☆ 适合读者:局域网的用户
读者 张继常:我家有一台台式机,最近又添置了一台笔记本电脑,通过一个路由器共享上网。最近,本来一直使用正常的网络,却出现了一个奇怪的现象。只要笔记本先开机,之后再打开台式机,网络就会断开一次,且网络速度变慢。
而关闭台式机时,网络又会断开一次,重新连接后网络速度恢复正常。但只要台式机先打开,随后打开笔记本就没有问题,只是网络速度稍慢。这种现象持续了好久,我一直不明白这是怎么回事?
小编:从你描述的故障现象来看,当网络出现断开时,都因台式机的开关而引发,而单独使用笔记本电脑时则没有出现任何问题,那么故障的症结应在台式机上。而从台式机开关均会造成一次网络断开,及连接速度下降的现象来看,这应该是台式机中了ARP病毒。
简单的说,中了ARP病毒,会欺骗局域网内所有主机和路由器,让它们都通过病毒主机上网,这时由于它们发送的数据包改变了路径,在路径切换时用户就会出现断网现象。具体的原理分析如下:
要知道每一个IP地址和网卡中包含的MAC地址,在网络中都是唯一的。在局域网中,当网卡获得路由器分配给它的IP地址后,就会将它与MAC地址暂时绑定,并记录在ARP映射表中。
同时,网络中其他主机的IP地址及它们相应用来绑定IP的网卡MAC地址,也会被记录到这个ARP映射表中。这样,当主机A要向主机B传送数据时,只需在ARP映射表中找出主机B的网卡MAC地址,即可直接在传送的数据帧中加入主机B的MAC地址信息,即可通过路由器直接将数据送到主机B中。
小提示:ARP是一种将IP地址转化成物理地址的协议,ARP映射表保存的是目标IP地址和MAC地址的映射关系。
由于ARP映射表需要实时更新,以获得最准确的MAC地址信息,这样在台式机开机后,ARP病毒会将该机器的MAC地址映射到网关(路由器)的IP地址上,并大量发送ARP信息包(会造成笔记本断网),告诉笔记本电脑重新更新自己的ARP映射表。
而当笔记本电脑接收到更新信息后,即会误认为台式机的MAC地址就是新的网关,便直接将数据传送到台式机中(这样台式机先关就会断网),此时台式机中的ARP病毒会截取其中的密码、账号等信息,之后再将笔记本电脑的数据发送给路由器。
这样笔记本电脑中的数据等于穿过了两道网关,而ARP病毒也要不停的发送大量的ARP信息包,才能使笔记本电脑始终认为台式机才是网关,所以速度自然也就慢了不少,中间出现网络掉线就不稀奇了。
ARP断网解决方案
方案一:批处理法
首先,只打开笔记本电脑,进入系统提示符窗口下,在其中输入“arp -a”命令,获取路由器的IP地址及MAC地址信息(见图)。
图中Interface后的“192.168.1.2”,即为路由器分配给本机的IP地址,而Internet Address下的“192.168.1.1”则为路由器所使用的IP,Physical Address Internet下的“00-14-78-b6-47-5c”,就是路由器的MAC地址。
将它记录下来后,再运行“ipconfig/all”命令,在其中获得本机网卡的MAC地址,这里是“00-11-85-1b-0d-0c”,现在打开记事本程序,在其中输入如下命令:
@echo off
Arp -s 192.168.1.1 00-14-78-b6-47-5c
Arp -s 192.168.1.2 00-11-85-1b-0d-0c
完成后,将它保存为bangding.bat批处理文件,放入到“开始→所有程序→启动”文件夹中,这样即可通过绑定路由器及本机的IP地址,来防范ARP病毒的地址欺骗。然后,打开台式机,使用同样方法为它绑定IP地址,并进行全面的杀毒即可。
方案二:路由器法
有时在本机绑定MAC地址后,仍然不能阻止一些ARP病毒的地址欺骗,这时就需要通过路由器来实现更深层次的绑定操作。以常见的TP-Link路由器为例,首先使用笔记本电脑登录到路由器管理界面,之后打开台式机,使路由器正确为其分配IP地址并获得它的MAC地址。
接着展开左侧菜单中的“IP与MAC绑定→ARP映射表”选项,转到右侧窗口,即可看到其中已列出了所有连接到路由器的客户机IP地址和相应MAC地址,点击“全部导入”按钮,将配置导入到路由器中。
现在,点击左侧菜单的“静态ARP绑定设置”选项,在右侧窗口中勾选上所有客户机的绑定功能,并启用ARP绑定功能,最后点击“保存”按钮即可。
总结
由ARP造成的断网现象还有很多,但基本原理都是一样的。大家在参照本文绑定了MAC地址后,还要注意杀毒,从根本上解决问题,可以使用《ARP病毒专杀清除工具》。此外,要做好安全防范,及时升级杀毒软件并更新补丁。