一打开360局域网防范就出现arp攻击,不打开能正常上网

现象:在单位用的局域网,然后某天突然换了路由器,然后电脑就连不上网,每次重启后能连上几分钟,然后就断掉了,通过网络诊断显示:默认网关不可用,诊断过后又能上一会儿网,然后过一会儿后又不能上网了,如此重复,折腾了好几天,甚至从新买了一张网卡。最终都是同样的现象。

不靠谱的网管:重装电脑啊!你电脑中毒了!算了,还是自己排查吧。

以下为排查过程和原因:

1. 首先看了一下主机路由配置

一打开360局域网防范就出现arp攻击,不打开能正常上网_第1张图片

 路由并没有特殊地方,根据活动路由应该是能访问到默认网关的,但是奇怪的是直接ping网关192.168.1.1却通不了:

一打开360局域网防范就出现arp攻击,不打开能正常上网_第2张图片

2. 查看ARP

联想到同一个网段,要是连网关都访问不到, 那只能是获取不到这台网关的mac地址了,通过arp -a查看也确实没看到192.168.1.1的arp缓存信息。

一打开360局域网防范就出现arp攻击,不打开能正常上网_第3张图片

为啥会没有呢?

3. 抓包

通过打开wireshark抓包工具查看,发现一堆的ARP请求包,其中有一个duplicate use of 192.168.1.1 detected! 意思为这个地址重复使用了,然后查看具体包类容:

一打开360局域网防范就出现arp攻击,不打开能正常上网_第4张图片

意思有多个mac返回了网关的地址即192.168.1.1,这不正是ARP攻击吗,还好学的网络,但经确认局域网里面没人会这么干。然后检查了一下自己电脑启动的软件,自动启动的就360了,其他软件都是关着的。

 4. 定位

到此大概猜想也只能360会捣乱了,尝试一下重启电脑,然后立即关掉360,神奇的可以上网了,查看路由,arp缓存表,抓包等一切正常,自此可以肯定是360的原因了。

一打开360局域网防范就出现arp攻击,不打开能正常上网_第5张图片

查看192.168.1.1的mac地址,这不是刚才抓包的提示ip冲突的那个mac吗,如果这个mac是对的,那另一个mac返回192.168.1.1的地址怎么来的。再次打开360软件,回想当初误打误撞点了360流量防火墙(那时主要是想测一下局域网网速),然后在局域网防范是打开的,此时看到一个惊喜的界面:

一打开360局域网防范就出现arp攻击,不打开能正常上网_第6张图片

这不正是前面排查的ARP攻击吗,回想好久之前装上360后打开了这个局域网防护,挺深的坑,为了防范ARP攻击,所以这个防范把网关路由器地址和mac绑定了,但当初可能没有注意,然后就设置成手动绑定了,查看设置:

 一打开360局域网防范就出现arp攻击,不打开能正常上网_第7张图片

该mac地址不正是抓包中看到的那个mac吗,自此原因全部定位了:

根本原因:开启了360局域网防护功能,同时手动绑定了路由器地址mac信息,导致重新换了一台路由器后,新的路由器的mac地址和360防范配置的冲突,导致360判断遭受ARP攻击。

解决办法:1.关掉局域网防范功能即可;2.把手动绑定切换为自动绑定;

反思:本身这个功能是好的,但是对用户有些苛刻,很多人连ARP都不知道是啥的,用的时候都是根据360提示全打开了,以为做到好的防护,结果也确实做到防范了,但这种防护在用户换路由器时却出现了麻烦,很难在想到是什么原因导致连不上网,估计向我们网管说的就只会重装电脑了,但根本原因却没定位。

以下为解决办法截图:

一打开360局域网防范就出现arp攻击,不打开能正常上网_第8张图片

一打开360局域网防范就出现arp攻击,不打开能正常上网_第9张图片

 

 

 

 

你可能感兴趣的:(系统,网络,网络)