今天打开电脑发现网络一卡一卡的,按照网络配置千兆光纤千兆路由是不可能出现的情况。第一步打开运行,输入CMD,首先我ping主路由器,有惊人的发现
有高比例的丢包,按照正常网络是不可能丢包的,于是我打开浏览器进去路由器后台,打开系统日志,有重大发现
固定的ip地址在不断地更换它的预计地址,综上我肯定了百分之99%是ARP攻击了。
到这里肯定就有人问了,说了半天什么叫ARP攻击,ARP病毒是协议类病毒之一
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目,造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中,局域网中若有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过ARP欺骗手段截获所在网络内其它计算机的通信信息,并因此造成网内其它计算机的通信故障。
我断定是局域网内的一台设备感染了ARP病毒了。接下来要找到中毒的机器,我用
Anti ARP Sniffer查找攻击的物理地址
好家伙隔几分钟攻击一次,MAC是40-77-A9-3C-16-46.找出来后要去找是交换机哪一个端口触发的,然后进入交换机后台,通过动态MAC地址查询,好家伙
在第11个端口找到他的影子,顺藤摸瓜最终找到凶手,打死你们也想不到
一台2.4G的小米无线路由。然后拔了,网就好了。
事故报告:员工用万能钥匙强行破解2.4G无线路由,下载带走木马的文件,导致局域网瘫痪。建议以后局域网禁止使用2.4G无线路由器。