|
|
一直困挠我几个月的网络问题今天终于得已解决.心里可是放下这个大石头,把经历写给大家,或许会对大家有所帮助
公司的网络在几个月之前突然动不动就集体掉线,过一会就好,来回掉,又接着好,公司同事反应很强烈,很影响工作.开始查找原因,发现掉线都是同一时间,进行网络测试,一直PING我们公司的DNS,同时PING公司的最顶层路由器(正常上网情况下DNS也就是电信服务商处一直可以PING通,但路由器设置了禁PING,一直是无法PING通,掉线时,DNS无法PING通,但路由器却可以PING通),于是怀疑网内有计算机中了ARP病毒,
在一台电脑上安装了ARP检测软件一直检测,另一台使用ARP防火墙检测,检测结果都是出现一个陌生的MAC地址,同时写的ARP攻击者IP为192.168.1.1(路由器IP),但路由器MAC地址与其不符,则又怀疑是伪造MAC地址进行ARP欺诈
于是逐台计算机使用ARP(TSC)排查ARP病毒,安装ARP漏洞补丁.但是从扫描结果来看,只有两台电脑内能扫描出相关病毒,可每次查杀,总会查出来,实在没有办法将两台电脑重装系统,虽查不出ARP病毒,但网络依然和以前一样.
使用科来查数据包,总不时的会出现那个陌生的MAC地址有数据包,可该地址公司内实在没有该MAC地址的电脑.而且专家诊断里也没有报告网内存在ARP攻击之类.无奈中,只好编写批处理程序,添加到每个计算机的启动项目里,结果很多电脑的该启动项目都被360安全卫士给清除了.
偶然的机会,看到一个帖子上面写的,网内如果再使用路由器的话,可能会导致网络出现ARP欺诈的情况,但是现象很不明显,而且不是一直都在欺诈,后来才想起来以前记得有个部门由于交换机坏了,就拿了一个路由器当交换机用(不使用WAN口),就过去把那个路由器拿过来一看,进入路由器界面一看MAC地址...恍然大悟...就是那个欺诈MAC地址,而且上面设置的IP地址为192.168.1.1,更换一个普通的交换机,网络恢复正常,没有再出现ARP表被修改的情况
后记:以前只是听说抛弃路由器的WAN口可以当一个交换机用,是不假,那几个口的确互相通信没问题,但是如果顶层有一个路由器做DHCP服务了,如果网内再用这么一个路由器,两个路由器都要争做顶层路由,结果可想而知了...
[ 本帖最后由 bingxuelin 于 2008-1-25 14:45 编辑 ] |
|
发表于 2008-1-25 14:43:56