用抓包的方决ARP病毒

　　最近网络中有主机频繁断线，刚刚开始还比较正常，但是一段时间后就出现断线情况，有时很快恢复，但是有时要长达好几分钟啊，这样对工作影响太大了。最初怀疑是否是物理上的错误，总之从最容易下手的东西开始检查，检查完毕后没有发现异常!突然想到目前网上比较流行的ARP，ARP出现的故障情况与此非常之相似!对于ARP，一般常规办法是很难找出和判断的，需要抓包分析。

　　1.原理知识

　　在解决问题之前，我们先了解下ARP的相关原理知识。

　　首先，每台主机都会在自己的ARP缓冲区(ARPCache)中建立一个ARP列表，以表示IP地址和MAC地址的对应关系。当源主机需要将一个数据包要发送到目的主机时，会首先检查自己ARP列表中是否存在该IP地址对应的MAC地址，如果有o就直接将数据包发送到这个MAC地址;如果没有，就向本地网段发起一个ARP请求的包，查询此目的主机对应的MAC地址。此ARP请求数据包里包括源主机的IP地址、硬件地址、以及目的主机的IP地址。

　　网络中所有的主机收到这个ARP请求后，会检查数据包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此数据包;如果相同，该主机首先将发送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已经存在该IP的信息，则将其覆盖，然后给源主机发送一个ARP响应数据包，告诉对方自己是它需要查找的MAC地址;源主机收到这个ARP响应数据包后，将得到的目的主机的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息开始数据的传输。如果源主机一直没有收到ARP响应数据包，表示ARP查询失败。

　　ARP原理：

　　我们先模拟一个：

　　主机A不停的发送ARP应答包给网关，告诉网关他是192.168.1.50主机B，这样网关就相信主机，并且在网关的ARP缓存就有192.168.1.50对应的MAC就是主机A的MAC地址00:11:22:33:44:66，网关真正发给主机B的流量就转发给主机A;另外主机A同时不停的向主机B发送ARP请求，主机B相信主机A为网关，在主机B的缓存有一条记录为192.168.1.1对应00:11:22:33:44:66，这样主机B真正发送给网关的数据流量就会转发到主机A;等于说主机A和网关之间的通讯就经过了主机A，主机A作为了一个中间人在彼此之间进行转发，这就是ARP。

　　2.解决方法

　　看来只有抓包了，首先，我将交换机做好端口镜像设置，然后把安装有科来网络分析系统的电脑接入镜像端口，抓取网络的所有数据进行分析。通过几个视图我得出了分析结果：诊断视图提示有太多“ARP无请求应答”。

　　在诊断中，我发现几乎都是00:20:ED:AA:0D:04发起的大量ARP应答。而且在参考信息中提示说可能存在ARP。看来我的方向是走对了，但是为了进一步确定，得结合其他内容信息。查看协议视图了解ARP协议的详细情况，

　　ARP192.168.1.1Response和ARPRequest相差比例太大了，很不正常啊。接下来，再看看数据包的详细情况。

　　我从数据包信息已经看出问题了，00:20:ED:AA:0D:04在网络中192.168.17.0这个网段的主机，应该是在告诉大家它是网关吧，想充当中间人的身份吧，被主机的通讯流量都跑到他那边“被审核”了。

　　现在基本确定为ARP，现在我需要核查MAC地址的主机00:20:ED:AA:0D:04是哪台主机，幸好我在平时记录了内部所有主机的MAC地址和主机对应表，终于给找出真凶主机了。可能中了ARP病毒，立即断网杀毒。网络正常了，呜呼!整个世界又安静了!

　　3.总结(故障原理)

　　我们来回顾一下ARP过程。MAC地址为00:20:ED:AA:0D:04的主机，扫描192.168.17.0这个网段的所有主机，并告之它就是网关，被主机的数据都发送到MAC地址为00:20:ED:AA:0D:04的主机上去了，但是从我抓取的数据包中，MAC为00:20:ED:AA:0D:04的主机并没有真正的网关，所以我们的网络会出现断网现象。

　　4.补充内容

　　对于ARP的故障，我们还是可以防范的，以下三种是常见的方法：

　　方法一：平时做好每台主机的MAC地址记录，出现状况的时候，可以利用MAC地址扫描工具扫描出当前网络中主机的MAC地址对应情况，参照之前做好的记录，也可以找出问题主机。

　　方法二：ARPCS可在MS-DOS窗口下运行以下命令：ARPCS手工绑定网关IP和网关MAC。静态绑定，就可以尽可能的减少了。需要说明的是，手工绑定在计算机重起后就会失效，需要再绑定，但是我们可以做一个批处理文件，可以减少一些烦琐的手工绑定!

　　方法三：使用软件(Antiarp)使用AntiARPSniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包。

　　在如今这个信息爆炸的时代里，每天都会有数不清的新闻通过各种渠道涌到我们面前，而真正有价值的应该进入我们心里的，却很可能随着日历牌的翻动被我们忽略。作为对一周新闻进行回顾的《比特网新闻中心每周热点推荐》，就是要告诉您过去的七天都发生了哪些新闻，更希望和您一起，站在七天的高度来看待过去一周的新闻。

　　领IT群雄秀企业风采。创刊于2008年2月，定位于行业（企业）信息化规划、建设、管理的中高层人士，通过精心的内容筛选，将每月发生的重点事件进行回顾，为高端人群提供深度阅读，与比特网内容的速度特性形成互补。主要栏目有：比特网精粹、新产品新技术、CIO、封面报道、下午茶精选等。

　　业内首个只为报道数据中心资讯内容的专业频道，是为数据中心用户及厂商而建设的专业平台。以数据中心专业技术内容为核心，贯穿新鲜资讯、技巧方法和用户案例等高附加值内容。以为网友提供最具实用价值的信息为原则，以成为用户最信赖的行业专家为目标，打造高时效、高品质、高前瞻的最全威频道。企业数据中心热点播报，为您精心奉上过去一周数据中心最精彩、权威资讯_chinabyte比特网。

　　就服务器和数据中心领域的产业动态、技术热点、热门产品、实用技巧，向企业CIO/CTO、IT管理层、技术人员提供一周精选套餐，为数据中心决策者、使用者提供一份服务器行业以及数据中心领域最新动态及产品应用的技术套餐。