ARP欺骗病毒是最让网络管理员头疼的内网疾病之一,当企业内网出现ARP欺骗病毒时最明显的症状主要有两点,我们可以通过这两点确定ARP欺骗病毒的存在与爆发。
首先我们会发现ping网关地址出现时断时续的问题,一会可以ping通一会又是request timed out。(如图16)
其次当我们在本机执行arp -a查看本机ARP缓存时会发现MAC地址出现重复的现象,例如192.168.1.1与192.168.1.252的MAC地址是一个,那么就可以肯定那台IP地址是192.168.1.252的主机感染了ARP欺骗病毒在冒充网关欺骗别的地址。(如图17)
遇到ARP欺骗病毒时我们最先要做的就是通过路由器自身的ARP数据包发送功能来抵消ARP欺骗病毒带来的损害,一般可以设置为Arp每秒发送2到3个数据包为宜,不要太多,否则会导致广播泛滥的。另外我们还需要通过双向绑定来彻底杜绝ARP欺骗病毒带来的危害。所谓双向绑定就是指在路由器上执行客户端IP与MAC地址的绑定,而在客户端上执行路由器网关IP与MAC地址的绑定。
