网络分析案例之酒店ARP欺骗解决
Technorati 标签: 网络分析,网络安全,arp
Bob Chen 2013-9-29
1.现象
地点江夏某度假酒店,上网时断时续,非常缓慢,ping网关发现不通
2.初步诊断
【图1】
可以看见192.168.1.1和192.168.1.88为相同的mac地址,怀疑arp欺骗
使用arp –d,ping 192.168.1.1后情况还是如图1
考虑使用arp –s来进行网关的静态绑定,但无法知道192.168.1.1的真实mac
怎么绑定正确的网关mac呢?
3.使用科来软件抓包
发现内网有大量的arp响应请求,尤其是192.168.1.88
可看到192.168.1.1的mac为00-14-78-f0-d6-67
4.进行静态绑定ip和mac
Ok找到正确的网关mac了吗,我们试试
由于在Win7下无法直接进行arp –s
需要使用以下命令:
C:\Users\thinkpad>netsh i i show in
Idx Met MTU 状态 名称
--- ---------- ---------- ------------ ---------------------------
1 50 4294967295 connected Loopback Pseudo-Interface 1
17 25 1500 disconnected 无线网络连接 2
13 20 1500 connected 本地连接
24 5 1400 disconnected 本地连接* 15
记录下网卡的idx值
C:\Users\thinkpad>netsh -c i i add neighbors 13 192.168.1.1 00-14-78-f0-d6-67
Ping 192.168.1.1 ok,问题解决。