今天遇到了一件很奇怪的事——在办公室上网,突然PC访问不了网络(MSN掉线,网页无法显示)。刚才还好好的怎么突然就不行了呢?想起一年前大概也是这个时候,参加公司的笔试,其中就有一道体跟现在的状况很想——题名大体意思也是网页无法显示了,该怎么排除故障。晚上10点要停电,难道是服务器关了?查看TCP/IP属性,发现IP、网关、子网掩码都对,看来问题不在这,尝试着ping Google,没ping通;ping 自己,通了;ping 网关,没ping通。纳闷中……,问隔壁的几个同事,他们都能正常上网,ping他们的PC能ping通。难道我的MAC被网关屏蔽了???百思不得其解,肚子有点饿,回寝室吃点东西先……
回寝问了一下隔壁寝室的同事,他说可能是有人将Device直接连到公司网络里去了,以前他们也遇到过这样的问题。饭饱后回到办公室查arp buffer(在cmd下输入 "arp -a")发现我arp buffer中网关的MAC和能上网的机器arp buffer中网关的MAC不一样,看来真的问题出在这了。可怎么解决呢?思考中…… 突然有人喊道:“现在是不是不能上网的啊?”晕,又有人“受害”了,去他位置上一看,输入“arp -a”,Mac跟我的一样,不一样的是他的“360安全卫士”提示受到arp攻击。他说:“另一个部门曾经中毒了,现象跟我们现在一样”相继有几个同事对这个问题感兴趣了,都过来看看,分析其过程。突然有人喊道:“这MAC怎么这么熟啊,好像是我的,我去看看”“果然是我的,是我中毒了”。
受到arp攻击时现象:中毒的机器超常上网,受害的是和中毒的在起在同一网段内的其他机器。受害机器的现象为,能获取IP;不能ping通网关;用"arp -a"查看 arp buffer 其MAC地址和同一网段内,能正常上网的不一样。
跟其他病毒不一样:arp欺骗,对中毒的机器没有什么影响,真正受影响的是和“毒机”同一网段的其他机器,这样一来,就使查毒的难度加大。
病毒原理:与Arp协议过程类似。
后来,中毒的那位同事将PC断网后,大家又可以正常访问网络了。
