我的第一次解决ARP攻击

我的第一次解决ARP攻击

一、我的背景：

   一所2B院校，还没毕业，刚过完忙碌的大三，一名准毕业生（可以这么说了吧！），在同学的介绍下去了一座服务业很发达的城市---一路向西，进了一家集销售、服务于一身的电脑销售服务中心，在电脑城有自家店面，在外面有承包其他公司的电脑/打印机维护和小公司的网络维护（pc<50台），还有做安防的。本人在那里基本上都要处理所有的问题（除了安防我不懂），说实在的，很多东西我都不懂，很多都是请教同事来解决。

二、ARP攻击来临

   经过两个星期之后，基本上的问题我都能解决，随后boss安排我去其他公司处理电脑、打印机、共享、邮件等问题，电话随时待命。

   突然电话那熟悉的铃声响了，电话那边传来了老男人（我们都管boss为这般的）的声音：“XX公司出现了ARP攻击，你过去看下”，挂了电话第一时间就翻开笔记本查看公司的地址，然后上www.zuoche.com查坐车， 又登记坐车信息。背着背包，拿着自己的工具包（每个技术员都有自己的工具包）出发。

   转车再转车，问了路人甲乙丙丁，终于给我找到那家公司了，原来老男人开车和我来过这间公司，但我老记不住，毕竟自开车和搭公交不一样吧！不是自亲为的东西老忘记。

1）第一次耍“小聪明”  

（时间、人物、地点是我从老男人那里学来的）找到该公司负责人，了解下出现的一些问题，

问题：1.负责人的电脑就是公司数据库服务器，安装有360杀毒软件，

       软件提示来自192.168.1.1 mac：08-42-AC-3E-E7-B0的ARP攻击

     2.一名员工的电脑也出现这种状况

我的想法：整个办公室就两台电脑出现这种问题，应该是360报错了吧！

我的操作：登录该公司的路由器（tp-link），查看下该路由器的mac和其他设备的mac，没发现软件提示的mac地址，然后就出现问题的电脑设置静态ip地址，然后就设置360的提示为以后不提示（小聪明）。跟负责人大声招呼就这样说好了，就回公司了。

2）问题开始严重了

   第二天早上按时上班，刚进公司boss就转发昨天我去的公司负责人发过来的短信：早，XX：我电脑ARP断网攻击任不断，这一早上就有100多次了，还得麻烦你过来一下。扫描完短信之后回拨电话给boss（老男人），说明下昨天的情况（昨天忘了汇报情况了，我错了），问我怎么解决呢？我回答：过去了解下情况，然后背了装备再次出发。在门口又遇到了老男人，他说：这大学生，怎样？想怎样解决？你又不问我（不给自己留后路啊），我告诉你，你过去把他办公四楼那个无线路由器的网线拔了就可以了。我点了点头。

3）公交车上的想法

   我列出了我想可能引起ARP攻击的原因

    1.员工电脑中病毒导致

    2.外部黑客攻击

    3.DHCP服务器问题

    4.网络里有一台和路由器相同ip地址的设备

    5.交换机、路由器接口接触不良

此时，我应该把该公司的网络拓扑了解清楚才行。

三、找到攻击源--员工私自接入无线路由器

  去到该公司已经十点了，昨天就来了两次（第一次是给领导安装AP），保安都知道我来干嘛了，打声招呼就进去办公楼了。

  来到负责人那里，我借用他电脑登陆到路由器，查看了一下路由表。然后就跟负责人说要了解下交换机和路由器设备放置哪里（此时我想登陆到那些路由器上面看的，因为该公司的路由器都是有无线功能的），负责人很配合工作，就拿起电话叫电工上来办公室一趟。

1）登记设备、画网络拓扑图

  跟着电工一路跑上跑下，我拿着笔记本一边登记设备型号，设备mac地址，一边询问员工能不能上网还一边画拓扑图，来来回回用了大概20分钟。

2）意外发现

  在登记最后一间办公室的时候，我惊讶的发现一名女员工电脑机箱上有一台无线路由器，当那名电工说：你好，现在搞网络的来检查下网络，你们配合下哈！当时那名正在工作的女员工顿时惊了一下（可能她知道不能自带自接无线路由器吧！）

  我询问了一下这台路由器的来由，能不能断开。征询了同意之后，开始登陆到此台无线路由器，当我登陆上去的瞬间，我差点哭出来了（夸张、夸张），那兴奋啊！一看到mac地址08-42-AC-3E-E7-B0，就知道非常熟悉，翻开我的笔记本，一对照，NND，正是此路由器啊！

3）后续处理

 断开此无线路由器，后续由该公司处理

四、总结

  第一次给公司解决ARP攻击，有那么点小小成就感，做以下总结：

  1）第一次难免紧张，不知所措，但要找对的方法

  2）永远要给自己留条后路（老男人教的），我借此机会熟悉该公司的网络拓扑，那些设备的ip地       址，管理员密码，现有服务，方便自己之后的维护工作。

  3）耍小聪明的人日子不会好过的，改吧！善莫大焉！