网络分析案例之酒店ARP欺骗解决

Bob Chen 2013-9-29

1.现象

地点江夏某度假酒店，上网时断时续，非常缓慢，ping网关发现不通

2.初步诊断

【图1】

可以看见192.168.1.1和192.168.1.88为相同的mac地址，怀疑arp欺骗

使用arp -d，ping 192.168.1.1后情况还是如图1

考虑使用arp -s来进行网关的静态绑定，但无法知道192.168.1.1的真实mac

怎么绑定正确的网关mac呢？

3.使用科来软件抓包

发现内网有大量的arp响应请求，尤其是192.168.1.88

可看到192.168.1.1的mac为00-14-78-f0-d6-67

4.进行静态绑定ip和mac

Ok找到正确的网关mac了吗，我们试试

由于在Win7下无法直接进行arp -s

需要使用以下命令：

C:\Users\thinkpad>netsh i i show in

Idx Met MTU 状态 名称

--- ---------- ---------- ------------ ---------------------------

1 50 4294967295 connected Loopback Pseudo-Interface 1

17 25 1500 disconnected 无线网络连接 2

13 20 1500 connected 本地连接

24 5 1400 disconnected 本地连接* 15

记录下网卡的idx值

C:\Users\thinkpad>netsh -c i i add neighbors 13 192.168.1.1 00-14-78-f0-d6-67

Ping 192.168.1.1 ok，问题解决。