二、 所有PC机无法和网关通信----欺骗网关攻击
现象:网络中PC逐台掉线,甚至全网内PC都无法上网。查看路由器ARP表项,发现很多错误地址。重启路由器后恢复正常,但过一段时间PC又开始掉线,导致很多用户怀疑是路由器故障。正如下图所示,网关路由器的ARP表中各台PC机的MAC地址已不正确,这些PC机无法再同网关通信,无法上网。
原因:攻击者伪造ARP报文,发送源IP地址为同网段内某一合法用户的IP地址,源MAC地址为伪造的MAC地址的ARP报文给网关;使网关更新自身ARP表中原合法用户的IP地址与MAC地址的对应关系。这样一来,网关发给该用户的所有数据全部重定向到一个错误的MAC地址,导致该用户无法正常访问外网。
“欺骗网关”攻击示意图
通俗地理解:老总本来想带张三一起去国外考察,王五嫉妒张三,于是他修改了老总电话簿中张三的号码。老总联系不上张三,好机会就这样丢失了。甚至,王五修改了老总电话簿的全部号码,老总就一个员工也找不到了,公司业务一片混乱。
