ARP欺骗导致小区用户无法上网

近日，某小区有用户反映网络经常掉线，但工程师上门维修时，并没有发现用户所说的故障现象。后来的几天，我接到了很多这个用户的电话反映故障，同时也陆续接到了这个社区其他用户的类似故障，才感觉到事态的严重性。这个小区100多户，用光纤+五类线开通宽带上网很正常。日常问题都是线路故障或者用户操作造成的。这一次问题影响了社区的大部分用户，故障发生的时间没有规律性，往往会自动恢复正常。
不是病毒引起的
因为很多用户反映出现了故障，可以排除用户线路和机器故障的原因。根据以往经验，怀疑是用户机器中毒。启动后，病毒攻击并发送大量数据包，导致局域网通信拥塞，导致用户掉线。于是我们装了一台带嗅探软件的电脑，连上局域网，试图找出中毒的机器。经过长时间的观察，我们并没有发现机器连接数或者发出的数据包数有异常增加，但是在我们的观察过程中还是有用户反映有掉线的现象。
找到IP地址碰撞点
我们已经分别更换了位于小区一级的光端机和交换机，问题仍未解决。由于小区局域网没有发现问题，我们将目光转向位于机房的汇聚交换机，怀疑连接到小区的端口性能不佳，准备更换端口。该社区连接到华为s3526的16号端口。登录到交换机后，会出现以下消息:% 1/15/2006 18: 32: 30-sysm-5-IP冲突:rcv src IP 10 . 4 . 1 . 50 arped 00-00-6a-60-78-a3 by 00-03-47-52-43-。2006年18:32:32-SYSM-5-IP冲突:Rcv SRC IP 10 . 4 . 1 . 42 ARP 00-00-93-64-48-D2 By 00-03-47-52-43-10驻留在端口16 …… %1/15/ 2006年18: 32: 35-SYSM-5-IP冲突:RCV SRC IP 10.4.1.26 ARP ED 00-00问题的症状在这里吗？
仔细观察后发现，所有的提示都表明一台MAC地址为00-03-47-52-43-10的机器在将IP地址转换为MAC地址的过程中与其他机器发生冲突，即所有的IP地址都被更改为对应00-03-47-52-43-10地址。因为这个小区的用户使用DHCP分配IP地址，所以可以通过认证和计费系统找到MAC地址为00-03-47-52-43-10的用户，并在用户家中与用户进行通信。用户反映从未手动更改过IP地址，上网也一直正常，日常使用中也没感觉到机器有什么不同。
我们在它的机器上用Netstat等命令检查了一下，没有发现异常连接或者过度连接的情况，与一般的机器中毒情况不同。与用户协商后，用户断开了与大楼交换机的连接。经过长时间的观察，社区没有用户反映掉线。看来这个电话确实是用户引起的。
木马欺骗ARP缓存表
这种现象应该是软件问题。将用户机器的硬盘拆下，连接到另一台机器上进行扫描杀毒，发现了十余种病毒。通过查找数据，最终发现肇事者是隐藏在插件中的木马程序。一般来说，木马程序只是窃取用户的信息，但为什么这个木马会导致其他用户掉线？
我们知道，用户访问互联网的数据包必须经过多次路由才能到达目的服务器，目的服务器返回给用户的数据包也必须经过多次路由才能返回给客户端。数据包路由的第一步是在用户机器上填充默认网关。如果网关有问题，那么用户就无法上网。默认情况下，网关填写IP地址，而用户的机器在与网关通信时使用MAC地址。这就是问题发生的地方。
我们先来了解一下ARP协议。
ARP协议是“协议上的地址解析ti
的缩写。在局域网中，网络中实际传输的是一个“帧”，其中包含目标主机的MAC地址。在以太网中，主机必须知道目标主机的MAC地址，才能与另一台主机直接通信。但是你是怎么得到这个目标MAC地址的呢？它是通过地址解析协议获得的。所谓“地址解析”，就是主机在发送帧之前，将目的IP地址转换成目的MAC地址的过程。ARP协议的基本功能是通过目标设备的IP地址查询目标设备的MAC地址，保证通信的畅通。
每台通过以太网连接到互联网的计算机都有一个ARP缓存表(见表1)，其中的IP地址和MAC地址是一一对应的。
表1 ARP缓存表主机办公室"/>
IP地址
MAC地址
主机
网关
192.168.16.254 [/br/网关

A
192 . 168 . 16 . 1
AA-AA-AA
A
我们使用主机A (1999如果找到了，也知道目标MAC地址，就把目标MAC地址写进帧里发送。如果在ARP缓存表中没有找到相应的IP地址，主机A将在网络上发送一个广播，其目标MAC地址为“FF”。FF.FF.FF.FF.FF”，意思是问同一网段的所有主机，“192.168.16.254的MAC地址是什么？“网络上的其他主机不响应ARP查询。网关收到这个帧才会这样回复主机A:“192 . 168 . 16 . 254的MAC地址是XX-XX-XX-XX-XX”。这样，主机A就知道了网关的MAC地址，它可以向网关发送信息。同时，它还更新了自己的ARP缓存表，下次向网关发送信息时，可以直接从ARP缓存表中查找。ARP缓存表采用了老化机制，如果表中的一行在一段时间内没有使用，就会被删除，这样可以大大减少ARP缓存表的长度，加快查询速度。
*局域网内的主机运行ARP欺骗的木马程序时，会欺骗局域网内的所有主机和路由器，使所有上网流量都必须经过病毒主机。其他用户以前是直接通过路由器上网，现在是通过病毒主机上网，考试和大提示时用户切换一次就会断网。当ARP欺骗的木马程序停止运行时，用户会从路由器恢复上网，切换过程中用户会再次断网。于是我们在网关交换机的“系统历史”中看到很多类似的信息如下:%1/15/ 2006 18: 32: 30-SYSM-5-IP冲突:RCV SRC IP 10 . 4 . 1 . 26 ARP ED 00-00-93-64-48-D2 BY 00-00-B4-52-43-10驻留在16号端口
。
双向绑定防止ARP欺骗
我们可以使用双向绑定来解决和防止ARP欺骗。
(1)在PC上绑定路由器的IP和MAC地址。
(2)在路由器上绑定用户主机的IP和MAC地址。
对于网络运营商来说，在双向绑定不方便的时候，保证其他用户正常上网的唯一办法就是经常查看路由器日志，尽快找到相关提示信息，断开有问题的用户。