诡异：整个局域网瘫痪，哪位大虾能帮我解决？

xiangge · 发表于 2007-12-28 14:31:05

最近我们的局域网经常出现无法上网，ping网关不通，打不开路由器的web管理页面的情况。用p2p终结者和网络执法官只能看到自己的机子，别人的都看不到。用科来只有出去的数据，没有近来的数据。好象整个局域网都瘫痪了一样，这是路由器的问题还是有人在搞鬼呢？
我们局域网的结构是猫+tplink路由器+腾达2400s交换机
另：在重启各个设备电源的瞬间可以连到路由器，然后有连不上了

请哪位高手看看是怎么回事，小弟先谢谢了！

牛人 · 发表于 2007-12-28 14:39:17

可能是有ARP病毒攻击。
不知道楼主的网络规模有多大，我认为你可以一部分一部分断网检查。
另外，用科来只能捕获单向数据的话，那可能是你的安装有问题，能否告知你是怎样部署的呢？

chinaheiyu · 发表于 2007-12-28 15:01:06

同意楼上的。。先把一半的电脑的网线从交换机上拿掉，如网络正常，再试另一半。
如拿下如正常，说明这拿下的电脑有问题，再一半一半的排除。。。。最后

你想么样就么样。。。。。。

oldjiang · 发表于 2007-12-28 15:10:16

"ping网关不通，打不开路由器的web管理页面"，因为别的机器冒充了网关

chinaheiyu · 发表于 2007-12-28 15:16:05

如果这要样的话，先清除本地ARP缓存，再PING下网关，再查看下本地ARP表，就可能知道是哪台电脑了，前提是你有记录！

xiangge · 发表于 2007-12-28 15:27:19

原帖由 oldjiang 于 2007-12-28 15:10 发表
"ping网关不通，打不开路由器的web管理页面"，因为别的机器冒充了网关

用什么办法冒充网关的？可提供思路吗？

可以确定不是arp攻击

luxin198471 · 发表于 2007-12-28 16:01:59

还有一种情况就是离你最近的有台电脑把地址设置成网关地址

oldjiang · 发表于 2007-12-28 16:30:48

原帖由 xiangge 于 2007-12-28 15:27 发表

用什么办法冒充网关的？可提供思路吗？

可以确定不是arp攻击

以前我有个客户玩网络游戏（不记得是什么游戏了），中了病毒，盗号木马之类的，病毒发作的现象就跟你说的一样：突然上不了网、PING不通也打不开宽带路由器的IE页面。后来ARP -A抄MAC地址，在交换机上SH MAC-ADDRESS-TABLE，找到端口、机器，关了就好了。病毒原理应该就是ARP，伪造网关，不过当时不知道科来，抓的还蛮费劲的。

oldjiang · 发表于 2007-12-28 16:36:25

建议楼主在腾达2400s交换机上找个空闲的口，接个机器监控所有其他的口，本机不装IP协议，科来不设任何过滤器。只出不进的流量还真是没见过。另外楼主如何“可以确定不是arp攻击”？等待你的数据包。我下午抓了一个下载的，有点心得，可惜没有保存，只留下两个截图。

oldjiang · 发表于 2007-12-28 16:50:22

如果不是硬件问题，我倒是觉得ARP的嫌疑最大，如果只是抓ARP，不用镜像端口也能抓

逍遥一指令 · 发表于 2007-12-28 18:49:47

可以通过 tracert 命令追踪一下

xiangge · 发表于 2007-12-28 20:15:41

原帖由 luxin198471 于 2007-12-28 16:01 发表
还有一种情况就是离你最近的有台电脑把地址设置成网关地址

请问你指的是什么地址：ip地址还是mac地址？

因为现在是用arp防火墙找不到任何攻击的现象，所以不像是一般的攻击。而且最重要的是无论是p2p终结者还是网络执法官都找不到任何别的机子

如果跟arp攻击有关的话，我考虑是不是攻击者完全取代了路由器，把整个内网和路由器之间屏蔽了。只是一些猜测，不是搞这方面的啊，请各位高手再分析下。

[ 本帖最后由 xiangge 于 2007-12-28 23:28 编辑 ]

liuheliuxi · 发表于 2007-12-29 11:48:36

呵呵，ARP防火墙只能监控自己是否被攻击，ARP病毒如果攻击路由器，它就完全没有办法了。建议你正确部署科来，然后抓包吧

wastebaby · 发表于 2007-12-29 13:50:48

用360ARP防火墙或金山或彩影ANTI SNIFFER ARP防火墙，看看是不是有ARP欺骗，最主要的是看看是不是硬件有损坏，因为ARP欺骗科来是可以抓到包的，现在出了一种毒也是ARP+U型的，

haduke · 发表于 2007-12-29 15:05:05

路过学习一下！

[ 本帖最后由 haduke 于 2007-12-29 15:07 编辑 ]

hopelove16 · 发表于 2007-12-29 15:53:54

原帖由 liuheliuxi 于 2007-12-29 11:48 发表
呵呵，ARP防火墙只能监控自己是否被攻击，ARP病毒如果攻击路由器，它就完全没有办法了。建议你正确部署科来，然后抓包吧

支持`!用这个方法很快就知道是否有机器在欺骗你的MAC地址,然后在把那台机器"修理一顿"然后@在试试!@

xmubbs · 发表于 2008-1-2 10:31:48

原帖由 xiangge 于 2007-12-28 15:27 发表

用什么办法冒充网关的？可提供思路吗？

可以确定不是arp攻击

我也是很疑惑，楼主怎么确定不是ARP的

既然重启设备后，可以短暂的访问到路由，那说明物理连接没有问题，你应该知道路由的MAC吧，当你不能访问后，在本机上arp -a一下，看ARP表有没有变化。

yruoke · 发表于 2008-1-2 15:31:42

今天早上刚上班，网络就开始出问题，和楼主的现象很相似，重启router的短时间内（不定，最长为3－5分钟），可以访问router，之后ping开始间断，然后就是完全不通了。经过一番周折后，发现接router的一条线灯狂闪，拔掉后网络恢复正常。之后，用“windows清理助手”扫描下面的5台机器，发现一台有大量木马，清理后重新插上，网络到现在一直正常。

duxiaohuen · 发表于 2008-1-3 09:28:27

请问下楼主你们局域网开一台机子也掉吗？？可以试下还有就是问下是有盘还是无盘。。。

qzjhh · 发表于 2008-1-4 11:00:58

三步走：

一，单独接到电脑到路由器上，看看有没有你所说的情况，如果有，请检查如下设备：
路由器是否完好？
网线是否完好？
二，接上交换机，然后又只接一台电脑，看看是否完好？如果问题依旧，那么请检查交换机是
否有问题`
三，根据你所述，数据只出不进，有二种原因造成
第一种：病毒
第二种：UTP接线接触不好（这个我碰到过，数据只出不进）

你首先应看看局域网之前的通讯是否正常``

pinyinle · 发表于 2008-1-4 14:09:36

21111111111

诡异：整个局域网瘫痪，哪位大虾能帮我解决？

晕