解决ARP病毒引起的故障(两例)

案例一
   故障现象
  早上刚上班,用户打来电话说某个子网的客户端无法正常上网。并且反馈信息,在Ping DNS时断时续,远程登录三层交换机,检查连接用户办公楼端口,未发现有异常情况。
  故障诊断
  笔者建议管理员首先检查网络是否出现风暴或网络回环。打开Sniffer软件监控用户所在网络,看是不是出现流量异常的现象,监控两个小时后发现流量很正常。很奇怪,据用户反映在中午下班时网络正常恢复正常,但是下午用户又打来电话说网络又不正常了,初步判断问题出在用户端。
  笔者让管理员到用户办公室逐个排查。根据用户反映,如果把网卡禁用后再启用,网络就正常了,但过10分钟又无法ping通,周而复始。我们知道,网卡禁用再启用的过程,就是一个Arp的学习过程,在此期间,它会发出一个Arp的请求,询问谁是这个网段的网关,然后得到这个网关的MAC地址,然后当它需要去访问不同网段机器的时候,就会把数据包丢给那个网关。那么,是不是用户的某台机器中了病毒,导致它可以模仿真实网关的地址,使得在局域网内的客户端在上网时都把数据包发给了这个模仿真实网关的机器,从而产生故障?马上找了一台机器用arp -a命令去查看这台机器默认网关的MAC地址,发现当网络正常时显示的默认网关的MAC地址是正确的,当故障出现时默认网关的MAC地址突然变了。
  故障解决
  记下出现故障时显示的那个网关的MAC地址,然后在楼道交换机上根据这个MAC地址查到是哪个机器,拔掉该机器的网线后,网络恢复正常。至于为何中午下班时上网正常,是因为用户下班时将中病毒的机器关了,所以大家都又能够正常上网。中毒机器杀毒后也恢复正常。
  排错总结
  通过对这个网络的故障分析,我们总结出以下几点:首先是当网络出现故障的时候,一定要多到用户端了解情况,最好能通过用户对故障的描述抓住网络故障的实质。其次,当出现奇怪的网络现象时,可以分析是否是用户端的机器中了病毒导致这种现象发生,并不一定是网络设备的问题。
案例二
某一天,笔者接到一个故障申请电话,说 618 房间的计算机突然不能上网,并且系统托盘区域处的网络连接图标上有红色叉号标记出现 ; 起初笔者以为肯定是网络线缆出现了松动,要求该用户自行将网线拔下来重新插一下,确保网络线缆与墙上的上网插口以及网卡接口之间连接牢靠,可是该用户按照笔者要求重新插拔了网络线缆后,还是出现相同的故障现象。  
 
       笔者不放心,立即登录到 618 房间所使用的交换机系统上,查看了对应交换端口的工作状态,发现目标端口处于 “up” 状态,这说明交换端口的工作状态也是正常的。后来,笔者怀疑 618 房间的计算机使用的 IP 地址可能与其他计算机的 IP 地址发生了冲突,于是建议那位上网用户换一个 IP 地址试试,果然在重新更换 IP 地址后, 618 房间的计算机又能正常上网了。   
      
       然后,没有多长时间, 618 隔壁房间的计算机又打来电话向笔者求援说,他们的计算机也不能正常上网了 ; 笔者经过查阅档案资料,发现出现故障的计算机基本都处于相同的虚拟工作子网中,看来这种故障现象并不简单是由人工修改 IP 地址造成冲突引起的,很可能是对应虚拟工作子网中出现了 ARP 病毒。   
 
       我们知道,现在 ARP 病毒非常疯狂,局域网中的计算机很容易感染该病毒,而该病毒往往会欺骗局域网中所有计算机以及网络设备,并强制目标计算机通过特定的病毒主机进行上网访问。很多计算机被感染了 ARP 病毒后,之所以不能上网或者访问网络的速度会下降,主要是由于在正常状态下目标计算机的网卡 IP 地址与物理地址是一一对应的,当目标计算机的网卡设备从 DHCP 服务器那里申请得到 IP 地址后,该地址就会被临时与网卡设备的物理地址 捆绑 在一起,并且还会被自动记忆存储到本地系统的 ARP 映射表中 ; 当局域网中有计算机被意外感染了 ARP 病毒后, ARP 病毒就会强行把病毒计算机的网卡物理地址映射到局域网的交换机或路由器设备上,并且还会自动向网络中发送大量的 ARP 广播信息,局域网中的其他计算机收到广播信息后,往往会错误地认为病毒计算机就是局域网的网关地址,这样一来其他计算机就会自动把上网请求转发到病毒计算机上,而病毒计算机实际上并不是真正的网关地址,所以其他计算机自然也就不能正常上网,即使能够上网速度也不会很快了。
  
       为了查清楚究竟是哪台计算机感染了 ARP 病毒,笔者立即以系统管理员身份登录进入到目标交换机系统,进入该系统的全局配置状态,利用 “display dia” 命令,查看目标交换机各个交换端口的工作状态,结果发现网卡物理地址为 0016-173d-43eb 的计算机与对应虚拟工作子网的网关地址存在冲突现象 ; 为了追查出网卡物理地址为 0016-173d-43eb 的计算机究竟位于哪个房间,笔者立即在交换机的全局配置命令行状态下,执行字符串命令 “display mac” ,从其后出现的结果界面中,笔者看到网卡物理地址为 0016-173d-43eb 的计算机使用了 43 交换端口。   
 
       为了防止 ARP 病毒继续影响局域网的工作状态,笔者在交换机的后台管理界面中,执行字符串命令 “interface e0/ 43” ,进入 43 交换端口的视图配置状态,并且在该状态下继续执行字符串命令 “shutdown” ,将 43 交换端口暂时关闭掉,这样一来病毒计算机就不能通过该交换端口向局域网网络发送 ARP 病毒信息了,此时与病毒计算机同处一个虚拟工作子网的其他计算机立即都能正常上网了。   
 
       临时关闭 43 交换端口的工作状态后,笔者立即又查看了组网时完善起来的档案记录,发现 43 交换端口被分配给了 563 房间使用上网了 ; 于是,笔者立即电话联系 563 房间的上网用户,告诉他的计算机已经感染了 ARP 病毒,目前已经被强行从网络中断开,并且要求该用户必须使用最新版本的杀毒软件对其使用的计算机进行病毒查杀操作 ; 在查杀完病毒之后,笔者在对应交换端口的视图配置状态下,又执行了 “undo shutdown” 字符串命令,重新将 43 交换端口的工作状态激活,之后再次执行 “display dia” 命令,发现局域网中已经不存在地址冲突现象了,这说明局域网中的 ARP 病毒故障已经被成功解决了。

你可能感兴趣的:(职场,ARP,病毒,休闲)