最近公司的网络非常不稳定,表现的情况就是分分钟出现掉线的情况。经排查,出现这种情况的本质就是dhcp服务被伪造。网关ip指向的mac地址是一个不正确的服务。
出现这种情况的猜测可能有以下几种:
- 1.电脑或物联网设备中毒,被恶意安装上dhcp服务并广播给所有设备。
- 2.中间人攻击,局域网内被劫持转发。
- 3.物联网设备中有异常的程序被运行了。(可能是 路由、设备硬件、手机等一切可以连到局域网中来的终端)
下面是反查排除与解决方案,暂时未能找到具体是哪台设备的问题导致的。但是我们可以使用双向绑定mac地址来让自己的机器知道网关真实的mac。而不受到错误的dhcp服务。
查询所有的映射表
arp -a
根据mac地址反查ip
arp -a | grep 8:10:78:53:b1:17
查询网关的mac地址
arp 192.168.0.1
(注意这里多试几次,如果返回不同的mac地址,则说明dhcp服务被伪造)
绑定固定mac地址 防止攻击
- Mac:
arp -s 192.168.0.1 00:88:2a:e8:3a:11
- Windows:
arp -s 192.168.0.1 00-88-2a-e8-3a-11
解绑所有固定mac地址映射
arp -ad `
traceroute命令判断网络路由层级情况
traceroute www.baidu.com
(注意看第一层返回的ip,这个就是网关地址。如果它指向了一个并非你配置中的网关地址,也就是说不正确的,则说明找到了罪魁祸首,如果你有配置静态网关的话)