上周四下午， 單位網絡故障， 無法打開網頁， 關掉防火墻， 路由器， 重新起動， 故障消失， 這種事情由來已久， 因為網絡設計初期問題......

周五出現網絡時斷時續現象， 一本科生告訴我可能是“ARP欺騙”所致， 在DOS下， 輸入：arp -a 發現網關MAC地址與一臺IP為192.168.0.9的主機MAC相同， 找到該機后， 斷掉， 網絡恢復。

本以為事情就這么過去了， 然而：

周一上班又出現網絡時斷時續、網速慢、上不去網……眾人紛紛報告， 搞得我相當郁悶， 情急之下發現重新起動電腦故障就消失了， 于是簡單要求照做。 晚上在家查找了相關資料， 知道遇到ARP欺騙這種事情不好搞， 并且找到了應急對策：

1、              對網關做IP-MAC綁定

2、              用MAC掃描器得到網內上網主機的IP-MAC對， 記錄下來以備后用

周二上班前做了網關地址綁定。 一上午至下班前一小時無事， 但我知道， 這個ARP欺騙主機像幽靈躲在暗處， 時刻窺探發動攻擊的最佳時刻， 不把它揪出來， 早晚是個事兒！現在它沒有出現， 可能是因為故障主機的人沒來不在單位， 根本沒開機！果然， 下班前一個小時故障再次出現！然而單位70幾臺上網主機三個樓層， 怎么查？！有人提出一個房間一個房間的斷網排查， 我否定的這種干擾正常工作秩序的方案， 決定重新研究新對策。 下載了一個AntiArpSniffer的工具進行監控， 晚上回家在不安中睡去……

周三， 也就是今天早上到單位， 在兩臺監控的主機上發現如下“欺騙機MAC地址：00-11-**--**-**-2D”（由于此地址為物理網卡地址， 具有全球唯一性， 故隱去真實值）， 軟件還報告了發生欺騙的時間和大概36次的欺騙次數！但卻沒有查出IP地址。 8點半用MAC掃描器進行全網掃描， 卻未發現上述MAC地址。 　9點15分， 有機器報告不能上網， 到現場， 運行欄輸入：arp –d 不用關機重起， 可以上網， 更確定是ARP病毒所致。 10點05分再次用MAC掃描器， 突然閃現了IP與MAC地址對應的主機！！！火速聯系機主， 對方反應這幾天上網速度很慢， 正想重裝系統。 告知事發原因， 并驗明他昨天上午到下班前一小時確實不在單位沒有開機的事實， 與網絡自他歸來后變得不穩定現象完全符合！經對方查驗其MAC地址確實與掃描出的欺騙主機地址一致！！！事主重新格式化重裝系統……

雖然找出了源頭并采取的相應措施， 但內心始終忐忑， 網絡安全任重道遠啊……

一切盡在觀察中……

處理步驟小結：

1、              應急處理不能上網的主機， 在運行欄里執行命令：arp –d

2、              用AntiArpSniffer　3.5　監測網絡

3、              用MAC掃描器　找出主機IP地址

4、              根據IP地址找到電腦， 格式化， 重裝系統。

5、              OVER　

建議：

對整個網絡做IP-MAC綁定。