局域网的频繁掉线的原因

局域网的频繁掉线的原因 局域网的频繁掉线一直以来是困扰电脑维护工作者的一大难题。因此把我自己的一些维护经验和网落上的一些收集整理与此，希望对同行们有所帮助，也希望同行中的高手可以进来交流一下你们的经验( 引起局域网掉线的原因一般为:1、线路质量问题;2、组网出现环路;3、路由器或交换机等设备故障;4、病毒问题。前三种原因引起的掉线，往往持续时间长，很容易从设备状态定位故障;第四种情况引起的掉线持续时间短，可自动恢复，或重起路由器或交换机也可恢复，但往往频繁出现。 在局域网掉线的时候，我们可以通过一台直接连接路由器的PC(脱离局域网)来检测外网是否正常，如果正常就可以说明故障是出现在局域网内部的。然后检查局域网内的线路，组网情况，交换机工作是否正常。以上都排除后，故障就可以定位在局域网内。而局域网内的掉线问题多数是由病毒引起的。 对于病毒引起的掉线，我们就要想办法找到有木马病毒的主机。一般使用查看网络流量的客户软件，查看每台主机的流量，找到流量异常的主机，将其屏蔽即可。重点讲一下传奇外挂木马的ARP欺骗。有2个传奇外挂携带ARP木马攻击。这2个外挂是:传奇2冰橙子1.44版和传奇2及时雨PK版。当有人在局域网内使用上述外挂时，外挂携带的病毒会将该机器的MAC地址映射到其它机器的IP地址上，从而使其他机器1个IP地址会对应多个MAC地址，当被欺骗的机器重新启动时，代理服务器或路由的网关(通常为192.168.0.1)会因为一个IP适配多个MAC地址的错误，而停止向局域网内传输数据，这就是为什么掉线时内网是互通的，代理服务器也可以上网，而客户机不能上网的原因，是网关停止了工作，掉线只有在被欺骗的其他机器重启才会发生，所以故障现象比较隐蔽，难以排查。 处理对策:方法一:这是目前最好的办法，将局域网内所有机器的IP地址和该机器网卡的MAC 地址绑定，使病毒无法欺骗，操作如下: win98/me系统:在windows?MSDOS模式下运行WINIPCFG命令，查看本机所用网卡的IP地址和网卡的MAC地址。 Win2000/xp系统:在Windows?MSDOS模式下运行IPCONFIG命令，查看本机器的IP地址和网卡的MAC地址 运行ARP?S IP地址 MAC地址进行地址绑定，采用双向绑定的方法解决并且防止ARP欺骗。或者编写一个批处理文件rarp.bat内容如下: @echo off arp -d arp -s 192.168.0.254 00-22-aa-00-22-aa arp -s 192.168.0.36 00-e0-4c-4d-96-c6 其中192.168.0.254 为网关IP ，192.168.0.36为本机IP 将文件中的网关IP地址、本机IP地址和MAC地址更改为您自己的网关IP地址、本机IP地址和MAC地址即可。 将这个批处理软件拖到“windows,,开始,,程序,,启动”中即可。 还可以使用软件进行绑定，有款GETMAC.EXE 的绑定器，将其在一台主机上运行，对局域网扫描后，可以完成对局域网内所有主机的地址绑定。 注意事项:(1)局域网内所有机器都必须设为固定IP(如192.168.0.5)(2)一定要将局域网内所有机器的IP地址和MAC地址绑定，有一台不绑定都不能彻底解决问题，代理服务器可以不用。(3)有还原模式的一定要转储，该项操作必须保存。 方法二:这是临时应急的办法，上网人数较多时，不能叫客人都下线。 在局域网内任一台机器上安装“网络执法官”软件，软件天空www.skycn.com)有共享版下载，运行“网络执法官”可以看和局域网内所有机器的MAC地址和IP地址(当然所有机器要全打开)，最好用笔记录下所有机器的MAC地址和IP地址，并和机器序号对应。安排人监视，一旦发现有某一MAC地址被其他多个IP地址映射时，立刻通过对应表找到该台机器，请该用户停止使用上述外挂。 方法三:删除所有机器内的这两个外挂，并通过软件屏敝下载。 如何能够快速检测定位出局域网中的ARP病毒电脑, 面对着局域网中成百台电脑，一个一个地检测显然不是好办法。其实我们只要利用ARP病毒的基本原理:发送伪造的ARP欺骗广播，中毒电脑自身伪装成网关的特性，就可以快速锁定中毒电脑。可以设想用程序来实现以下功能:在网络正常的时候，牢牢记住正确网关的IP地址和MAC地址，并且实时监控着来自全网的ARP数据包，当发现有某个ARP数据包广播，其IP地址是正确网关的IP地址，但是其MAC地址竟然是其它电脑的MAC地址的时候，这时，无疑是发生了ARP欺骗。对此可疑MAC地址报警，在根据网络正常时候的IP,MAC地址对照表查询该电脑，定位出其IP地址，这样就定位出中毒电脑了。下面详细 说一下如何利用命令行方式检测ARP中毒电脑的方法。 命令行法 这种方法比较简便，不利用第三方工具，利用系统自带的ARP命令即可完成。当局域网中发生ARP欺骗的时候，ARP病毒电脑会向全网不停地发送ARP欺骗广播，这时局域网中的其它电脑就会动态更新自身的ARP缓存表，将网关的MAC地址记录成ARP病毒电脑的 MAC地址，这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址，就知道中毒电脑的MAC地址了，查询命令为 ARP ,a，需要在cmd命令提示行下输入。输入 后的返回信息如下: Internet Address Physical Address Type 192.168.0.1 00-50-56-e6-49-56 dynamic 这时，由于这个电脑的ARP表是错误的记录，因此，该MAC地址不是真正网关的MAC地址，而是中毒电脑的MAC地址～这时，再根据网络正常时，全网的IP—MAC地址对照表，查找中毒电脑的IP地址就可以了。由此可见，在网络正常的时候，保存一个全网电脑的IP—MAC地址对照表是多么的重要。可以使用nbtscan工具扫描全网段的IP地址和MAC地址，保存下来，以备后用。 备注: 1、 arp病毒并不是某一种病毒的名称，而是对利用arp的漏洞进行传播的一类病毒的 总称。arp协议是TCP/IP协议组的一个协议，用于进行把网络地址翻译成物理地址(又 称MAC地址)。通常此类攻击的手段有两种:路由欺骗和网关欺骗。是一种入侵电脑的 木马病毒。对电脑用户私密信息的威胁很大。 如何绑定和解绑, 绑定本机IP和MAC arp -s 222.205.194.12 00-14-2A-30-AD-94 解绑 arp –a 让网络不再瘫痪 ARP病毒的解决 1、清空ARP缓存:大家可能都曾经有过使用ARP的指令法解决过ARP欺骗问题，该方法是针对ARP欺骗原理进行解决的。一般来说ARP欺骗都是通过发送虚假的MAC地址与IP地址的对应ARP数据包来迷惑网络设备，用虚假的或错误的MAC地址与IP地址对应关系取代正确的对应关系。若是一些初级的ARP欺骗，可以通过ARP的指令来清空本机的ARP缓存对应关系，让网络设备从网络中重新获得正确的对应关系，具体解决过程如下: 第一步:通过点击桌面上任务栏的“开始”->“运行”，然后输入cmd后回车，进入cmd(黑色背景)命令行模式; 第二步:在命令行模式下输入arp -a命令来查看当前本机储存在本地系统ARP缓存中IP和MAC对应关系的信息; 第三步:使用arp -d命令，将储存在本机系统中的ARP缓存信息清空，这样错误的ARP缓存信息就被删除了，本机将重新从网络中获得正确的ARP信息，达到局域网机器间互访和正常上网的目的。如果是遇到使用ARP欺骗工具来进行攻击的情况，使用上述的方法完全可以解决。但如果是感染ARP欺骗病毒，病毒每隔一段时间自动发送ARP欺骗数据包，这时使用清空ARP缓存的方法将无能为力了。下面将接收另外一种，可以解决感染ARP欺骗病毒的方法。 2、指定ARP对应关系:其实该方法就是强制指定ARP对应关系。由于绝大部分ARP欺骗病毒都是针对网关MAC地址进行攻击的，使本机上ARP缓存中存储的网关设备的信息出现紊乱，这样当机器要上网发送数据包给网关时就会因为地址错误而失败，造成计算机无法上网。 第一步:我们假设网关地址的MAC信息为00-14-78-a7-77-5c，对应的IP地址为192.168.2.1。指定ARP对应关系就是指这些地址。在感染了病毒的机器上，点击桌面->任务栏的“开始”->“运行”，输入cmd后回车，进入cmd命令行模式; 第二步:使用arp -s命令来添加一条ARP地址对应关系， 例如arp -s 192.168.2.1 00-14-78-a7-77-5c命令。这样就将网关地址的IP与正确的MAC地址绑定好了，本机网络连接将恢复正常了; 第三步:因为每次重新启动计算机的时候，ARP缓存信息都会被全部清除。所以我们应该把这个ARP静态地址添加指令写到一个批处理文件(例如:bat)中，然后将这个文件放到系统的启动项中。当程序随系统的启动而加载的话，就可以免除因为ARP静态映射信息丢失的困扰了。 3、添加路由信息应对ARP欺骗: 一般的ARP欺骗都是针对网关的，那么我们是否可以通过给本机添加路由来解决此问题呢。只要添加了路由，那么上网时都通过此路由出去即可，自然也不会被ARP欺骗数据包干扰了。第一步:先通过点击桌面上任务栏的“开始”->“运行”，然后输入cmd后回车，进入cmd(黑色背景)命令行模式; 第二步:手动添加路由，详细的命令如下:删除默认的路由: route delete 0.0.0.0;添加路由: route add -p 0.0.0.0 mask 0.0.0.0 192.168.1.254 metric 1;确认修改: route change此方法对网关固定的情况比较适合，如果将来更改了网关，那么就需要更改所有的客户端的路由配置了。 4、安装杀毒软件: 安装杀毒软件并及时升级，另外建议有条件的企业可以使用网络版的防病毒软件。