這將導(dǎo)致這些使用相同IP的機(jī)器不能正常訪問網(wǎng)絡(luò)。但是,前幾天筆者卻用這個(gè)有如雞肋的功能幫了一個(gè)大忙。是怎么一回事呢?聽我慢慢道來(lái)。

本月12號(hào)那天,我被派到月壇大廈的客服部門處理網(wǎng)路故障。經(jīng)初步診斷,發(fā)現(xiàn)網(wǎng)絡(luò)時(shí)斷時(shí)續(xù),重啟網(wǎng)關(guān)的話,能夠正常好一會(huì),過(guò)一段時(shí)間后就不靈了。這是一個(gè)十分簡(jiǎn)單的網(wǎng)絡(luò):一條外網(wǎng)網(wǎng)線進(jìn)來(lái),接入一臺(tái)運(yùn)行FreeBSD的網(wǎng)關(guān)(做NAT用),網(wǎng)關(guān)機(jī)的另外一個(gè)網(wǎng)絡(luò)接口接交換機(jī),客戶端全部接2個(gè)在交換機(jī)上,同時(shí),網(wǎng)關(guān)機(jī)提供DHCP服務(wù),所有的客戶機(jī)使用DHCP自動(dòng)獲取IP。首先,我得確定故障發(fā)生在那里;重啟網(wǎng)關(guān),發(fā)現(xiàn)客戶機(jī)能正常上網(wǎng),但網(wǎng)關(guān)馬上提示DHCP請(qǐng)求超時(shí)的報(bào)警,除此而外看不出什么端倪,去客戶端查IP,發(fā)現(xiàn)獲取的IP地址正常,于是又懷疑是不是交換機(jī)有問題,等一會(huì),發(fā)現(xiàn)故障又出現(xiàn)了,重啟一下交換機(jī),網(wǎng)絡(luò)又正常了問題到底在哪里呢?一下犯暈了。

整理了一下思路,然后找了一臺(tái)客戶機(jī)(客戶機(jī)全是windows),先ping一下網(wǎng)關(guān),發(fā)現(xiàn)居然ping不通,ping網(wǎng)內(nèi)的另外一臺(tái)機(jī)器則正常,重啟網(wǎng)關(guān)再用客戶機(jī)ping 網(wǎng)關(guān)則正常,毫無(wú)疑問,網(wǎng)絡(luò)中了ARP欺騙病毒了。進(jìn)系統(tǒng)目錄,發(fā)現(xiàn)c:下有幾個(gè)異常的文件,該名某個(gè)文件,居然不讓操作,運(yùn)行命令 arp -a 發(fā)現(xiàn)多行arp請(qǐng)求,看來(lái)是病毒引起的網(wǎng)絡(luò)堵塞故障。不能把所有的機(jī)器都與網(wǎng)絡(luò)段掉,當(dāng)務(wù)之急是先找出當(dāng)前正在作崇的主機(jī)然后隔離處理。

怎么辨別是網(wǎng)絡(luò)中那臺(tái)主機(jī)中毒厲害呢?網(wǎng)上已經(jīng)有很多不錯(cuò)的辦法。有人建議用抓包工具,然后分析抓到的包信息來(lái)確認(rèn)中毒的主機(jī),然而我手里沒有任何抓包工具,看來(lái)只好自己想招了。經(jīng)過(guò)摸索,總結(jié)了下面一些行之有效的辦法,供大家參考!

在客戶機(jī)運(yùn)行路由跟蹤命令如 tracert -d www.163.com,馬上就發(fā)現(xiàn)第一條不是網(wǎng)關(guān)機(jī)的內(nèi)網(wǎng)ip,而是本網(wǎng)段內(nèi)的另外一臺(tái)機(jī)器的IP,再下一跳才是網(wǎng)關(guān)的內(nèi)網(wǎng)IP;正常情況是路由跟蹤執(zhí)行后的輸出第一條應(yīng)該是默認(rèn)網(wǎng)關(guān)地址,由此判定第一跳的那個(gè)非網(wǎng)關(guān)IP 地址的主機(jī)就是罪魁禍?zhǔn)住?/p>

問題又出來(lái)了,由于網(wǎng)內(nèi)的主機(jī)IP地址是通過(guò)DHCP自動(dòng)獲取來(lái)的,怎么找出這個(gè)主機(jī)又是一個(gè)難題,幾十個(gè)機(jī)器,挨個(gè)用 ipconfig/all查非累死不可,怎么辦?得走捷徑才行。突然之間冒出一個(gè)念頭:設(shè)置一個(gè)與查出來(lái)的中毒主機(jī)相同的IP地址,然后…..,接下來(lái),找一臺(tái)客戶端機(jī)器,查一下其自動(dòng)獲取的IP地址,沒有那么幸運(yùn)-這臺(tái)機(jī)器不是要揪出來(lái)的那個(gè)IP,然后把這個(gè)主機(jī)的"自動(dòng)獲取IP地址"取消,手動(dòng)設(shè)置機(jī)器的IP與有病毒的那個(gè)IP相同,設(shè)置生效后就聽見一個(gè)妹妹嚷道:"我的IP地址怎么跟別人沖突了呢?",殊不知,我要找的就是你呢!把妹妹的主機(jī)隔離網(wǎng)絡(luò),其他的機(jī)器上網(wǎng)立馬就順暢了。

處理arp病毒的操作我想大家都應(yīng)該有經(jīng)驗(yàn)了,在這里就不再多羅嗦。

簡(jiǎn)單總結(jié)一下,其主要步驟有兩步:1、運(yùn)行 tracert -d www.163.com 找出作崇的主機(jī)IP地址。 2、設(shè)置與作崇主機(jī)相同的IP,然后造成IP地址沖突,使中毒主機(jī)報(bào)警然后找到這個(gè)主機(jī)。

分享到

yajing

相關(guān)推薦