发布于2022年11月8日3年前 前段时间,公司里的VPN-Server突然出现掉线的情况,导致广域网VPNClient无法连接。重新启动服务器,正常几分钟之后掉线情况又出现;郁闷~ 使用其他拥有上网的主机ping DNS,都能够ping通,说明光纤线路正常。 在VPN-Server上运行arp命令查看IP-MAC映射解析表,网关的MAC值为:00-d0-70-03-a1-41;在开外一台拥有上网权限的主机A上使用相同命令,发现网关的MAC值为:00-16-e6-5d-65-3f,又在正常的主机B、主机C上查看网关MAC都等同于主机A;说明是VPN-Server的ARP映射表有问题。 在VPN-Server上将arp映射表清空,并将正确的网关IP-MAC映射值用手工方式绑定,运行arp -a查看:网关的IP-MAC正常,Type为static。用管理工具查询到MAC地址为00-d0-70-03-a1-41的主机D,将其网线拔除进行杀毒操作。网络恢复正常。 原来主机D上中了ARP欺骗病毒,导致主机D将自己的MAC地址与网关的IP地址伪造出虚假的ARP响应包,并向整个网络广播;默认情况下每台主机的ARP高速缓存放的IP-MAC表都是动态改变的,且其在WINDOWS平台上的存活周期为50~60s,每台主机要与网关通信的时候都是先查看其ARP中是否存在IP-MAC,若存在,直接将网关的MAC地址放入以太网帧首部的目标地址中发送以太网数据报;若不存在,网络中发送一个ARP请求,等待相应主机将ARP响应发回,并添加到ARP高速缓存中。主机D频繁发送的ARP错误响应包使VPN-Server更改了自己的ARP高速缓存:将错误的IP-MAC 信息写入。这样,VPN-Server对网关发送的数据包全部错误发向了主机D,也就是说被主机D拦截,很多盗取密码的木马程序就是采用了ARP欺骗这种机制实现的。向ARP这种运行在链路层的重要协议是有必要了解掌握的,毕竟很多传输曾的高档协议都是依赖于网络层IP网际协议,而IP数据要想在链路层传导,必须得靠ARP、RARP这两个地址解析协议。
创建帐户或登录后发表意见