网络不通

责任编辑：赵志远

投稿信箱：

**********************

TroubleShooting故障诊断与处理

本文对网关不通

导致网络故障进行探

讨。

ARP恶意攻击

由于最初设计上的缺陷爱情个性签名 ，ARP

攻击一直困扰着网络工程师和用

户。当然现在也有完善的预防机

制，但是在一般的小型网络环境

中，由于安全意识的缺失或技术的

原因，并没有做很好的防控措施。

而作为一名普通用户，如何应

对这种攻击就更困难了。其实，只

要弄清了它的攻击原理后，使用一

些简单命令都可以应对自如。

基本思想是攻击机告诉被攻

击机一为什么叫薄谷开来 个虚假网关IP的MAC，

利用ARP协议本身的安全缺陷，

本地的网关IP会被映射一个错误

的MAC。常规方法就是手工绑定

静态网关IP与MAC对址。

问题来了：当采用qq好听的网名 ARP命令

进行静态绑定网关IP和MAC地

址时，系统显示“ARP项添加失

败：拒绝访问”（用管理员身份运

行cmd也无效），没有找到相关资

料。但从安全的角度分析，主要是

IP-MAC缓存，再用

ARP-s进行静态绑

定。

注意：如果本地缓存有IP-MAC

的映射，这时绑定是被系统拒绝的，

虽然通过手工操作ARP-d可以删

除，而且通过ARP-a查看没有了

IP-MAC的映射，但仍然绑定被拒绝，

可能是系统在其他位置还保留痕

迹，这时将网卡停用再启用即可。

但如果是网关的IP，即使重

启网卡后仍然不能绑定，这时需将

网关IP改为其他的IP地址，待正

确绑定后再把网关IP改正过来。

（2）多网卡（虚拟）配置

如果本地网络配置有多个网

卡，在进行静态绑定时要指定特定

的网络接口。

图1是当前的网络接口配置

情况。

本来是希望是在接口192.

168.1.4上进行绑定，使用命令

“arp-s192.168.1.111-11-11-

11-11-11”。这时系统没有任何出

错提示，表明绑定成功。但是结果

却如图2所示。

从出结果可以得知，因为第一

网关不通导致网络故障探讨

■枝江市职业教育中心杨华戴绍雄

编者按：网关不通导致的网络故障有很多，本文以ARP恶意

攻击和非法DHCP两方面实例进行探讨这一故障现象。

Windows系统（Windows7及

以后）开始，为了安全起见，它默

认当前的网关IP-MAC映射是安

全（但无法验证它的合法性），就会

拒绝绑定到另外一个MAC上。

以下通过两种方法来进行网

关IP-MAC的静态绑定。1.通过ARP命令静态绑定

无论是静态配置还是DHCP

自动获取的IP地址，都会有一个

网关IP，Windows系统会非常

“聪明”地记下这个网关IP，除非

人为修改配置，杜绝通过ARP命

令去做静态绑定。但它并不会去

违反ARP协议中动态更新IP-

MAC的机制。这就给恶意ARP

攻击提供了便利，相反给普通用

户的基本防护设置了“障碍”。

（1）清除ARP缓存

正常情况下，本地缓存正确

的网关IP-MAC映射，但由于遭

到恶意攻击，缓存会被攻击机发

送的虚假网关IP-MAC取代。我

们可以先清除这个错误的网关

责任编辑：赵志远

2021.06

投稿信箱：

*******************心理健康文章 ***

TroubleShooting故障诊断与处理

个接口存在网关IP的MAC

映射，所以就默认绑定到第二

个接口上了；通过查阅ARP

相关参数：

ARP-sinet_addr

eth_addr[if_addr]

inet_addr指定Inter

net地刘禹锡简介 址。

eth_addr指定物理地

址。

if_addr如果存在此项

指定地址转换表应修改的接

口的Internet地址，如果不

存在，则使用第一个适

用的接口。

我们只需在绑定

时指定接口地址，如下

所示：

arp-s192.168.

1.111-11-11-11-11-

11192.168.1.4

这时系统又会显示“ARP

项添加失败：拒绝胡萝卜玉米汤 访问”，参照

上面“清除ARP缓存”方法

再进行绑定。2.通过netsh命令配置

以上方法只能临时进

行网关IP的MAC绑定，

当然也可以写一个BAT文

件，让它开机启动即可，不过

Windows还提供了另外一

个强大网络配置命令行工具

netsh(NetworkShell)。

（1）查看网络连接IDX

在CMD中输入“netsh

iIshowin”，然后找到本地

连接对应的Idx,如图3所示。

网络连接名是“WLAN”,

对应的Idx是“2”,下面neigh

bors后面的数字跟这里一致。

（2）进行IP-MAC永久

绑定

netsh-ciiad七年级下册单词表图片 dneigh

bors"2""192.168.1.1""11-

11-11-11-11-11"

绑定后通过命令查

看如图4所示，已成功

绑定。

非法DHCP

这种情况主要发生

在自动获取IP地址的网络环

境下，而现在大多数都处在这

种环境下。可能网络存在非

法DHCP,主要是由于普通

用户不正确使用无线路由器，

导致不能获取到正常的IP地

址，当然也不能得到正常的网

关地址了,如图5所示。

PC0应该从Server0上

获取IP地址、网关和DNS

等。但是

图1当前的网络接口配置

图2实际配置结果

图3查看网络连接IDX

图4绑定后查看结果

图5非法DHCP攻击【下转第156页】

责任编辑：赵志远

投稿信箱：

**********************

TroubleShooting故障诊断与处理

最近笔者单位的

分公司用户反映外网

卡顿以致影晚安故事 响了工作

效率，几次查看外网出

口路由器接口流量情

况，均是带宽占用已满导致。

由于该网络中没有部署流控

设备，无法查出流量占用高的客户

端，也无法看到网络流量占用高的

应用，但基本可以判断是由于下载

或者视频流量等大流量应用影响

了正常Web访问。

于是单位总部的技术部决定

加装深信服上网行为管理设备

AC-1000-C440。分公司网络拓

扑如图1所示，大部分是用户使

络问题。

远程连接Citrix云

桌面卡顿

分公司远程访

问云桌面是通过外网与总部的

IPcVPN网络连接，以前用户反

馈云桌面卡顿时检查原因多半都

是出口带宽占满所致。为何加了

流控设备后出口流量并不高，用户

使用云桌面仍然卡顿呢？

笔者通过仔细检查行为管理

设备的“策略管理→上网策略”，

并未发现任何可能对访问Citrix

云桌面烤米饭 有影响的策略。再检查“流

量管理→通道配置”，“时延敏感型

部署上网行为管理导致的网络异常

■四川赖文书

编者按：为解决笔者单位的分公司外网卡顿问题，单位加装

了上网行为管理设备，但却出现了新的问题。于是，单位又

不得不为解决新的诸如远程连接云桌面卡顿，网络反复卡顿

等问题而努力，可谓是一波三折。

用的无线网络，也有一部分有线网

络。单位以网桥方式部署上网行

为管理设备，网桥1（eth0-eth2）

接有线网络，网桥2（eth1-eth3）

接无蒜蓉开边虾的做法 线网络。将上网策略配置为

禁止上班时间段的下载和视频应

用，流量通道优先保障Web等基

础应用。

本以为分公司的网络问题该

万事大吉了，没想到增加的上网行

为管理设备带来了一系列新的网

现在出现了

Server1，也同样提供IP地址及

相关信息，当然在一定规模的网络

环境中，在网络设备上会做相应的

DHCP安全配置，只有Server0

相连的接口会发转发DHCP数据

包。但是在小型的网络环境中，普

通交换机上都不会有这种功能，这

样就只能碰“运气”了。

不过，也可以通过以下两种方

法，把主动权牢牢掌握在自己手

中。

方法1：手工设定正确的网络

主机地址及网关，可以参考同一网

段其他正常的电脑，然后配置一个

处于同一网段的主机地址信息即

可，但这种方法可能引起网络地址

冲突。

方法2：根据DHCP的工作

原理，可以将非法的DHCP服务

器Server1的IP绑定一个错误

的MAC地址到本地上，这样就巧

妙地运用了静态绑定优先级更高

的特点，从而使客户机无法与非法

的DHCP服务器Server1建立联

系，当然也就会从正常的Server0

获取IP及网关地址等信息了。

【上接第155页】