局域网的频繁掉线的原因

局域网的频繁掉线的原因 局域网的频繁掉线的原因 局域网的频繁掉线一直以来是困扰电脑维护工作者的一大难题。因此把我自己的一些维护经验和网落上的一些方法收集整理与此希望对同行们有所帮助也希望同行中的高手可以进来交流一下你们的经验 引起局域网掉线的原因一般为1、线路质量问题2、组网出现环路3、路由器或交换机等设备故障4、病毒问题。前三种原因引起的掉线往往持续时间长很容易从设备状态定位故障第四种情况引起的掉线持续时间短可自动恢复或重起路由器或交换机也可恢复但往往频繁出现。 在局域网掉线的时候我们可以通过一台直接连接路由器的PC脱离局域网来检测外网是否正常如果正常就可以说明故障是出现在局域网内部的。然后检查局域网内的线路组网情况交换机工作是否正常。以上都排除后故障就可以定位在局域网内。而局域网内的掉线问题多数是由病毒引起的。 对于病毒引起的掉线我们就要想办法找到有木马病毒的主机。一般使用查看网络流量的客户软件查看每台主机的流量找到流量异常的主机将其屏蔽即可。重点讲一下传奇外挂木马的ARP欺骗。有2个传奇外挂携带ARP木马攻击。这2个外挂是传奇2冰橙子1.44版和传奇2及时雨PK版。当有人在局域网内使用上述外挂时外挂携带的病毒会将该机器的MAC地址映射到其它机器的IP地址上从而使其他机器1个IP地址会对应多个MAC地址当被欺骗的机器重新启动时代理服务器或路由的网关通常为192.168.0.1会因为一个IP适配多个MAC地址的错误而停止向局域网内传输数据这就是为什么掉线时内网是互通的代理服务器也可以上网而客户机不能上网的原因是网关停止了工作掉线只有在被欺骗的其他机器重启才会发生所以故障现象比较隐蔽难以排查。 处理对策方法一这是目前最好的办法将局域网内所有机器的IP地址和该机器网卡的MAC 地址绑定使病毒无法欺骗操作如下 win98/me系统在windows?MSDOS模式下运行WINIPCFG命令查看本机所用网卡的IP地址和网卡的MAC地址。 Win2000/xp系统在Windows?MSDOS模式下运行IPCONFIG命令查看本机器的IP地址和网卡的MAC地址 运行ARP?S IP地址 MAC地址进行地址绑定建议采用双向绑定的方法解决并且防止ARP欺骗。或者编写一个批处理文件rarp.bat内容如下 echo off arp -d arp -s 192.168.0.254 00-22-aa-00-22-aa arp -s 192.168.0.36 00-e0-4c-4d-96-c6 其中192.168.0.254 为网关IP 192.168.0.36为本机IP 将文件中的网关IP地址、本机IP地址和MAC地址更改为您自己的网关IP地址、本机IP地址和MAC地址即可。 将这个批处理软件拖到―windows开始程序启动‖中即可。 还可以使用软件进行绑定有款GETMAC.EXE 的绑定器将其在一台主机上运行对局域网扫描后可以完成对局域网内所有主机的地址绑定。 注意事项1局域网内所有机器都必须设为固定IP如192.168.0.52一定要将局域网内所有机器的IP地址和MAC地址绑定有一台不绑定都不能彻底解决问题代理服务器可以不用。3有还原模式的一定要转储该项操作必须保存。 方法二这是临时应急的办法上网人数较多时不能叫客人都下线。 在局域网内任一台机器上安装―网络执法官‖软件软件天空www.skycn.com有共享版下载运行―网络执法官‖可以看和局域网内所有机器的MAC地址和IP地址当然所有机器要全打开最好用笔下所有机器的MAC地址和IP地址并和机器序号对应。安排人监视一旦发现有某一MAC地址被其他多个IP地址映射时立刻通过对应表找到该台机器请该用户停止使用上述外挂。 方法三删除所有机器内的这两个外挂并通过软件屏敝下载。 如何能够快速检测定位出局域网中的ARP病毒电脑 面对着局域网中成百台电脑一个一个地检测显然不是好办法。其实我们只要利用ARP病毒的基本原理发送 伪造的ARP欺骗广播中毒电脑自身伪装成网关的特性就可以快速锁定中毒电脑。可以设想用程序来实现以下功能在网络正常的时候牢牢记住正确网关的IP地址和MAC地址并且实时监控着来自全网的ARP数据包当发现有某个ARP数据包广播其IP地址是正确网关的IP地址但是其MAC地址竟然是其它电脑的MAC地址的时候这时无疑是发生了ARP欺骗。对此可疑MAC地址报警在根据网络正常时候的IPMAC地址对照表查询该电脑定位出其IP地址这样就定位出中毒电脑了。下面详细说一下如何利用命令行方式检测ARP中毒电脑的方法。 命令行法 这种方法比较简便不利用第三方工具利用系统自带的ARP命令即可完成。当局域网中发生ARP欺骗的时候ARP病毒电脑会向全网不停地发送ARP欺骗广播这时局域网中的其它电脑就会动态更新自身的ARP缓存表将网关的MAC地址记录成ARP病毒电脑的MAC地址这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址就知道中毒电脑的MAC地址了查询命令为 ARP a需要在cmd命令提示行下输入。输入后的返回信息如下 Internet Address Physical Address Type 192.168.0.1 00-50-56-e6-49-56 dynamic 这时由于这个电脑的ARP表是错误的记录因此该MAC地址不是真正网关的MAC地址而是中毒电脑的MAC地址这时再根据网络正常时全网的IP—MAC地址对照表查找中毒电脑的IP地址就可以了。由此可见在网络正常的时候保存一个全网电脑的IP—MAC地址对照表是多么的重要。可以使用nbtscan工具扫描全网段的IP地址和MAC地址保存下来以备后用。 备注 1、 arp病毒并不是某一种病毒的名称而是对利用arp的漏洞进行传播的一类病毒的总称。arp协议是TCP/IP协议组的一个协议用于进行把网络地址翻译成物理地址又称MAC地址。通常此类攻击的手段有两种路由欺骗和网关欺骗。是一种入侵电脑的木马病毒。对电脑用户私密信息的威胁很大。 如何绑定和解绑 绑定本机IP和MAC arp -s 222.205.194.12 00-14-2A-30-AD-94 解绑 arp –a 让网络不再瘫痪 ARP病毒的解决措施 1、清空ARP缓存大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题该方法是针对ARP欺骗原理进行解决的。一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。若是一些初级的ARP欺骗可以通过ARP的指令来清空本机的ARP缓存对应关系让网络设备从网络中重新获得正确的对应关系具体解决过程如下 第一步通过点击桌面上任务栏的―开始‖-―运行‖然后输入cmd后回车进入cmd黑色背景命令行模式 第二步在命令行模式下输入arp -a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息 第三步使用arp -d命令将储存在本机系统中的ARP缓存信息清空这样错误的ARP缓存信息就被删除了本机将重新从网络中获得正确的ARP信息达到局域网机器间互访和正常上网的目的。如果是遇到使用ARP欺骗工具来进行攻击的情况使用上述的方法完全可以解决。但如果是感染ARP欺骗病毒病毒每隔一段时间自动发送ARP欺骗数据包这时使用清空ARP缓存的方法将无能为力了。下面将接收另外一种可以解决感染ARP欺骗病毒的方法。 2、指定ARP对应关系其实该方法就是强制指定ARP对应关系。由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的使本机上ARP缓存中存储的网关设备的信息出现紊乱这样当机器要上网发送数据包给网关时就会因为地址错误而失败造成计算机无法上网。 第一步我们假设网关地址的MAC信息为00-14-78-a7-77-5c对应的IP地址为192.168.2.1。指定ARP对应关系就是指这些地址。在感染了病毒的机器上点击桌面-任务栏的―开始‖-―运行‖ 输入cmd后回车进入cmd命令行模式 第二步使用arp -s命令来添加一条ARP地址对应关系 例如arp -s 192.168.2.1 00-14-78-a7-77-5c命令。这样就将网关地址的IP与正确的MAC地址绑定好了本机网络连接将恢复正常了 第三步因为每次重新启动计算机的时候ARP缓存信息都会被全部清除。所以我们应该把这个ARP静态地址添加指令写到一个批处理文件例如bat中然后将这个文件放到系统的启动项中。当程序随系统的启动而加载的话就可以免除因为ARP静态映射信息丢失的困扰了。 3、添加路由信息应对ARP欺骗 一般的ARP欺骗都是针对网关的那么我们是否可以通过给本机添加路由来解决此问题呢。只要添加了路由那么上网时都通过此路由出去即可自然也不会被ARP欺骗数据包干扰了。第一步先通过点击桌面上任务栏的―开始‖-―运行‖然后输入cmd后回车进入cmd黑色背景命令行模式 第二步手动添加路由详细的命令如下删除默认的路由: route delete 0.0.0.0添加路由: route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1确认修改: route change此方法对网关固定的情况比较适合如果将来更改了网关那么就需要更改所有的客户端的路由配置了。 4、安装杀毒软件 安装杀毒软件并及时升级另外建议有条件的企业可以使用网络版的防病毒软件。