记一次arp病毒攻击的排查处理(arp病毒攻击怎么解决)

一、网络拓扑概况

某单位网络拓扑结构大致如图1所示:

图1:客户网络拓扑图

二、故障情况

每天下午6点钟左右出现无法上网的故障,ping测试严重丢包且持续时间较长。

三、排查情况及建议

1、排查情况

我司代维人员去现场单机测试正常,即排除了移动线路和设备故障。初步判断是客户内网存在问题并对楼宇之间的级联网线进行了更换,但故障没有得到有效解决。5月21日下午本人去现场对客户内网进行了排查,4时左右客户网络正常,用笔记本电脑接入客户路由器ping内网网关,偶尔出现丢包情况,通过抓包分析客户网络无异常广播报文,可判定路由器性能欠佳。6时左右,通过wireshark抓包分析,ip为192.168.1.128的主机突发大量ARP询问报文(如附件一),对局域网内的整个网段进行了扫描,在1秒内发送了254个广播报文,同时,通过ping该ip地址,发现时延较大甚至丢包(如附件二),这是典型的ARP病毒攻击,因此可判定ip为192.168.1.128的主机感染了ARP病毒。因客户内网主机采用DHCP的方式获取IP,无法及时定位该主机的物理位置,已建议客户网络管理员通过IP/MAC绑定的方式限制了该主机访问外网的权限以促使该主机使用者主动联系网络管理员从而可以对该主机进行排查操作。

建议

(1)建议客户更换性能更好的路由器。

(2)建议客户将局域网内所有主机使用固定IP,便于维护管理。

(3)建议客户规范化管理网络,如定期使用杀毒软件查杀病毒、及时修补系统漏洞、严禁私接无线路由器、miniWIFI设备等。

附件一:

附件二:

版权声明:

作者: freeclashnode

链接: https://www.freeclashnode.com/news/article-566.htm

来源: FreeClashNode

文章版权归作者所有,未经允许请勿转载。

免费节点实时更新

热门文章

最新文章

归档