从路由器下手揪出ARP毒源
网络设备
身为企业网管的你一定领教过内网ARP病毒的威力,它是目前企业网中最常见、最难缠的病毒之一。一旦内网之中有机器感染了这种病毒,且这台中毒机器影响到了内网的正常工作,那么这个时候判断哪台计算机感染了这种病毒是非常困难的。以往的单机查杀方法在此时将不再管用,因为我们无法确定哪一台计算机是中毒机器。
面对上百台甚至上千台的内网计算机,毒源在哪里?我们唯一能够做的就是从路由器下手揪出ARP毒源(即中毒的计算机),让我们的企业内网恢复“平静”。
对症下药,选对除毒方案
知己知彼才能百战百胜,在对ARP病毒的传播以及危害原理有一个大概的了解后,你会发现利用网络中的路由器就可很好的保护内网机器不受“骚扰”。
1.病毒危害分析
ARP病毒顾名思义就是通过发送ARP欺骗数据包来达到破坏网络以及传播的目的。通过制造与网关IP地址对应的虚假MAC地址来扰乱网络中的计算机通信,造成网络访问出现故障。ARP病毒的危害是巨大的,笔者亲身经历过内网一台机器感染ARP病毒,导致内网上百台计算机都无法正常上网的故障。即使笔者本机安全级别非常高,没有感染任何病毒也会因为其他机器感染ARP病毒而遭遇访问网络不畅的故障。
那么如何才能查杀该病毒呢?其实,杀病毒的步骤并不复杂,只要在“隔离”后用最新的杀毒软件就可以解决,但毒源的“定位”是关键也是难点。如何将出现问题的计算机从网络中的一百台甚至更多计算机中揪出呢?
最好的办法就是本文要介绍的从路由器下手找出“毒源”计算机MAC地址并禁止该计算机访问网络。
2.制定方案
查杀ARP病毒要按部就班地完成,首先要判断出问题主机的MAC地址,然后再通过路由器对此地址进行封杀,最后针对被封杀而突然无法上网的计算机进行隔离杀毒工作。
有网络管理和一定网络知识的读者都知道,判断ARP欺骗最简单的办法就是通过“arp -a”来查看网关MAC地址是否有变化。如果产生了变化,那么变化后的MAC地址就是出现问题、感染病毒的计算机的MAC地址。不过,只是获得这个MAC地址还不够,我们往往无法快速定位计算机,毕竟平时内网通讯使用最多的是IP地址,而且就算知道IP地址也无法确定该地址到底是哪个部门或者哪个员工的计算机在使用。
这时就需要我们使用本文介绍的方法——从路由器下手揪出ARP毒源。通过在路由器上查询MAC地址信息了解中毒计算机连接到哪个端口,再顺藤摸瓜寻找计算机所在的位置或直接关闭访问权限等待机主联系网管。不管采取哪种方法都将找出真凶的位置。
具体实施,从路由器下手
正如前面所说,用传统方法找到病毒根源比较麻烦,特别是MAC地址的定位相当困难,毕竟平时我们使用的都是IP地址而MAC地址信息很少有人统一管理和记录。我们不得不一台机器一台机器的查看MAC地址,不仅耗时耗神,成功率也很低。如果我们学会了从路由器下手来解决问题,那么这些麻烦都将迎刃而解。
提示:由于本文主要讲解的是在路由器上进行设置以对付ARP毒源,所以笔者会尽量减少介绍单机如何判断ARP病毒以及如何获得虚假MAC地址。
第一步:在无法上网且出现故障的计算机操作系统中运行“arp–a”命令。如果查询出网关IP地址对应的MAC地址与之前能够正常上网时的信息不符,那么这个MAC地址就是毒源计算机的MAC地址。因为ARP病毒的工作原理就是将感染病毒的那台计算机的MAC地址伪装成网关的MAC地址来欺骗网络中的计算机。
现在,找毒源的工作就可交给“路由器”来完成了。首先通过telnet登录企业核心路由/交换设备。
第二步:在路由/交换设备上执行MAC地址查看命令“sh mac address”。发现拥有这个捣乱的MAC地址“50-78-4c-68-8e-34”的计算机实际上连接在Fa0/45接口上。如果企业网络规划比较好,那么网管就应该知道Fa0/45接口对应的是哪台计算机了。
第三步:如果我们无法定位Fa0/45接口对应的是哪台计算机,那么我们可以通过“int fa0/45”命令进入该接口,然后执行shutdown命令关闭该接口即可,这样MAC地址为“50-78-4c-68-8e-34”的计算机将没有权限访问企业内网,它自然无法再捣乱了。
现在,我们在有问题的主机上执行“arp–a”命令不会看到错误MAC地址的身影了,ARP毒源从此不再影响企业内网。
第四步:接下来我们就需要耐心等待了,过不了多久就会有员工上门或者通过电话的方式来求救,说自己的计算机无法上网了。到该计算机上执行“ipconfig /all”命令查看MAC地址,如果是之前封锁的MAC地址,那么只需要进行网络隔离并查杀病毒即可,这样就可将ARP病毒清理出企业内网。
由于ARP病毒具备网络传播性这个特点,所以传统的单机断网查杀并不能有效定位目标。因此我们需要采取本文介绍的方法从网络设备下手,判断出它的真实位置,再进一步完成查杀工作。