局域网被arp攻击反查与解决

最近公司的网络非常不稳定,表现的情况就是分分钟出现掉线的情况。经排查,出现这种情况的本质就是dhcp服务被伪造。网关ip指向的mac地址是一个不正确的服务。

出现这种情况的猜测可能有以下几种:

  • 1.电脑或物联网设备中毒,被恶意安装上dhcp服务并广播给所有设备。
  • 2.中间人攻击,局域网内被劫持转发。
  • 3.物联网设备中有异常的程序被运行了。(可能是 路由、设备硬件、手机等一切可以连到局域网中来的终端)

下面是反查排除与解决方案,暂时未能找到具体是哪台设备的问题导致的。但是我们可以使用双向绑定mac地址来让自己的机器知道网关真实的mac。而不受到错误的dhcp服务。

查询所有的映射表

arp -a

根据mac地址反查ip

arp -a | grep 8:10:78:53:b1:17

查询网关的mac地址

arp 192.168.0.1(注意这里多试几次,如果返回不同的mac地址,则说明dhcp服务被伪造)

绑定固定mac地址 防止攻击

  • Mac:
    arp -s 192.168.0.1 00:88:2a:e8:3a:11
  • Windows:
    arp -s 192.168.0.1 00-88-2a-e8-3a-11

解绑所有固定mac地址映射

arp -ad `

traceroute命令判断网络路由层级情况

traceroute www.baidu.com(注意看第一层返回的ip,这个就是网关地址。如果它指向了一个并非你配置中的网关地址,也就是说不正确的,则说明找到了罪魁祸首,如果你有配置静态网关的话)

随缘打赏!