笔者所在单位使用的网络是中国电信20MB光纤业务,由电信机房送来的光纤信号经ZTE E-PON光纤收发器送至思科商务领航NAV 10-WF路由器,然后再经若干台24口10/100MB自适应交换机送到微机室、办公区及教职工宿舍。近来很多用户发现上网时常掉线,同时电脑上安装的“360安全卫士”提示“ARP攻击断网正在发生,360已拦截”,如图1所示,从表面症状来看应该是局域网内某台电脑已经中了 ARP病毒所致。
接下来的任务就是找出中毒的电脑,笔者想进入路由器查看一下里面DHCP已经分配的IP地址与客户MAC地址情况。于是便在浏览器里输入路由器登录地址192.168.1.1,出人意料的是浏览器弹出了如图2所示的对话框,单位路由器明明是思科商务领航NAV 10-WF,正常的登录界面应该是如图3所示的窗口,怎么变成了TL-R406呢?笔者又查看了“360安全卫士”防护日志,发现ARP入侵攻击源IP地址也是192.168.1.1,如图4所示,此时笔者终于明白:肯定是单位内有人私自接入了TL-R406路由器,而该路由器默认IP地址并没有更改,即192.168.1.1,当打开TL-R406设备后,局域网内便有了两个MAC地址不同但IP地址均为192.168.1.1的路由器,导致内网电脑访问外网数据时不知道向哪里转发,其症状就如同电脑中了ARP病毒,所以杀毒软件才会有那样的提示。
找到原因排除故障就容易了。考虑到用户私自接入路由器应该是家中有多台电脑需要上网,若让其关闭不太好,因此笔者决定看看能否更改TL -R406路由器里的相关设置。在图2所示对话框用户名和密码栏中试着输入“adrnin”,没想到成功进入了TL-R40。管理界面,在“LAN口设置”中将其IP地址更改为192.168.8.1,如图5所示,同时停止DHCP服务器,如图6 所示,重启TL-R406 后故障不再重现,至此故障圆满解决。事后经多方打听,笔者终于找到了安装路由器的同事,原来他确实是因家中有两台电脑而私自安装了路由器,只是不懂网络才连累了其他用户,其实他只要安装交换机就行了。
知识链接
ARP全称为Address Resolution Protocol,中文含义为地址解析协议所谓“地址解析”就是主机在发送数据包前将目标主机1P地址转换成目标主机MAC地址的过程。ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的顺利进行。ARP病毒正是利用AlU,协议的漏洞进行传播的一类病毒的总称。