最近!全國(guó)網(wǎng)吧瘋狂出現(xiàn)局部機(jī)器集體掉線問(wèn)題! 
本人維護(hù)的網(wǎng)吧!以前出現(xiàn)過(guò)2次arp欺騙的病毒.不過(guò)自從換了PF-2.8 oem服務(wù)器系統(tǒng)之后! 
把網(wǎng)關(guān)和MAC綁定!基本不會(huì)出現(xiàn)arp欺騙問(wèn)題! 
這次掉線也懷疑是病毒問(wèn)題!但是竟過(guò)排查不是病毒! 
總結(jié)下經(jīng)驗(yàn): 

1:關(guān)閉局域網(wǎng)內(nèi)所有交換機(jī)5分鐘后。重新接通電源，觀察網(wǎng)絡(luò)是否恢復(fù)正常?。ㄔ颍嚎赡苁墙粨Q機(jī)長(zhǎng)時(shí)間沒(méi)有重啟其內(nèi)存已用光，導(dǎo)致交換數(shù)據(jù)速度緩慢，或受網(wǎng)絡(luò)風(fēng)暴影響導(dǎo)致阻塞）(另一種可能是交換機(jī)的某一個(gè)或幾個(gè)接口模塊損壞，或交換機(jī)故障引發(fā)的網(wǎng)絡(luò)內(nèi)暴,解決方法是更換交換機(jī)） 
解決方案2：找個(gè)機(jī)器裝個(gè)CommView，IP地址設(shè)置為你的路由器IP（拔掉路由器，使其脫離網(wǎng)絡(luò)）然后你看看內(nèi)網(wǎng)機(jī)器都向外面發(fā)送了什么包，看看哪個(gè)機(jī)器發(fā)包最多，朝什么IP發(fā)的？如果發(fā)現(xiàn)某機(jī)器向外發(fā)送大量目的IP是連續(xù)的包，且速度很快的話，請(qǐng)修理該機(jī)器！ 
（可能是原因是：局域網(wǎng)中的某一臺(tái)或者多臺(tái)機(jī)器感染了蠕蟲病毒，在瘋狂發(fā)包，導(dǎo)致路由器NAT連接很快占滿） 
解決方案3：如果上述二種原因被排除或不能解決其問(wèn)題，可能是你的路由器性能低劣，處理能力有限造成的。你可以制作ROUTE 
OS之類的軟件路由器，或者購(gòu)買3000~5000元左右的硬路由，并更換以觀察情況。 
解決方案4：局域網(wǎng)內(nèi)某臺(tái)/某幾臺(tái)計(jì)算機(jī)網(wǎng)卡接口損壞，而不停的向網(wǎng)絡(luò)中發(fā)送大量的*數(shù)據(jù)包造成網(wǎng)絡(luò)阻塞。（集成網(wǎng)卡容易出現(xiàn)此問(wèn)題，尤其是網(wǎng)絡(luò)中機(jī)器較多時(shí)此問(wèn)題也是比較難于排查的，可以試著斷開某臺(tái)交換機(jī)，進(jìn)行逐一排查）在確認(rèn)了是哪臺(tái)交換機(jī)內(nèi)的機(jī)器有問(wèn)題后。逐臺(tái)打開這些機(jī)器，進(jìn)入桌面，退出所有管理軟件，打開網(wǎng)絡(luò)連接，在不做任何事的情況下，看誰(shuí)在大量發(fā)包或收包 
解決方案5：（此情況比較特殊：局域網(wǎng)中有人使用非法軟件惡意攻擊網(wǎng)吧 或 
ARP病毒攻擊網(wǎng)絡(luò)）在技術(shù)員制作母盤時(shí)應(yīng)各面屏蔽非法攻擊網(wǎng)吧的一些軟件并在可能的情況下對(duì)網(wǎng)關(guān)MAC進(jìn)行靜態(tài)ARP綁定現(xiàn)在也有很多硬路由器有專門的防掉線的功能了，我們網(wǎng)吧的飛魚星路由器就可以，可定時(shí)廣播正常的ARP包，如果你是軟件路由的話可以用軟件進(jìn)行防護(hù). 
這里也借鑒了別人的一些經(jīng)驗(yàn)! 



關(guān)于近期全國(guó)網(wǎng)吧客戶機(jī)發(fā)生莫明掉線斷流的一些解決建議 
發(fā)生斷流時(shí)的狀況及現(xiàn)象： 

1：能PING通網(wǎng)內(nèi)其它客戶機(jī)，但PING不通路由，上不了網(wǎng)（連接到INTERNET)。 
2：能PING通網(wǎng)內(nèi)其它客戶機(jī)，同樣PING不通路由，但能上網(wǎng)（能連接到INTERNET）。 


當(dāng)出現(xiàn)此狀況時(shí)，用下列操作可恢復(fù)連接：1：禁用網(wǎng)卡后啟用，2：重啟客戶機(jī)，3：重啟路由器，4：在路由上刪除其掉線機(jī)器對(duì)應(yīng)的ARP列表。 

原因可能性分析：ARP病毒或其它最新的變種病毒及漏洞攻擊。 

分析上述狀況，可得出以下幾點(diǎn)結(jié)論： 
此病毒感染機(jī)器時(shí)，可能修改了客戶機(jī)的MAC地址，或ARP緩存中的本機(jī)對(duì)應(yīng)MAC。 
此病毒感染機(jī)器時(shí)，可能修改了客戶機(jī)ARP緩存中網(wǎng)關(guān)IP相對(duì)應(yīng)的MAC。 


A：當(dāng)中毒的機(jī)器向網(wǎng)關(guān)路由發(fā)出請(qǐng)求時(shí)，網(wǎng)關(guān)路由的ARP緩存還未到刷新時(shí)間，網(wǎng)關(guān)路由內(nèi)的ARP緩存表中保存的是客戶機(jī)還未中毒前的MAC地址。而這個(gè)MAC地址，與客戶機(jī)當(dāng)前請(qǐng)求的MAC（被病毒修改過(guò)）不一致，客戶機(jī)的連接請(qǐng)求被網(wǎng)關(guān)拒絕。即發(fā)生與網(wǎng)關(guān)斷流。 


B：當(dāng)中毒的源頭機(jī)器向局域網(wǎng)發(fā)出假M(fèi)AC廣播時(shí)，網(wǎng)關(guān)路由也接收到了此消息，并將這些假M(fèi)AC地址與其IP相對(duì)應(yīng)，并建立新的ARP緩存。導(dǎo)致客戶機(jī)與服務(wù)器斷開連接。 


解決方法： 
1：在網(wǎng)關(guān)路由上對(duì)客戶機(jī)使用靜態(tài)MAC綁定。PF-2.8 
OEM軟路由的用戶可以參照相關(guān)教程，或是在IP--->ARP列表中一一選中對(duì)應(yīng)項(xiàng)目單擊右鍵選擇“MAKE 
STATIC”命令，創(chuàng)建靜態(tài)對(duì)應(yīng)項(xiàng)。 

用防火墻封堵常見病毒端口：134-139，445，500，6677，5800，5900，593，1025，1026，2745，3127，6129 
以及P2P下載 

2：在客戶機(jī)上進(jìn)行網(wǎng)關(guān)IP及其MAC靜態(tài)綁定，并修改導(dǎo)入如下注冊(cè)表： 
（A）禁止ICMP重定向報(bào)文 

ICMP的重定向報(bào)文控制著Windows是否會(huì)改變路由表從而響應(yīng)網(wǎng)絡(luò)設(shè)備發(fā)送給它的ICMP重定向消息，這樣雖然方便了用戶，但是有時(shí)也會(huì)被他人利用來(lái)進(jìn)行網(wǎng)絡(luò)攻擊，這對(duì)于一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)管理員來(lái)說(shuō)是一件非常麻煩的事情。通過(guò)修改注冊(cè)表可禁止響應(yīng)ICMP的重定向報(bào)文，從而使網(wǎng)絡(luò)更為安全。 

修改的方法是：打開注冊(cè)表編輯器，找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters”分支，在右側(cè)窗口中將子鍵“EnableICMPRedirects”(REG_DWORD型)的值修改為0（0為禁止ICMP的重定向報(bào)文）即可。 

（B）禁止響應(yīng)ICMP路由通告報(bào)文 

“ICMP路由公告”功能可以使他人的計(jì)算機(jī)的網(wǎng)絡(luò)連接異常、數(shù)據(jù)被竊聽、計(jì)算機(jī)被用于流量攻擊等，因此建議關(guān)閉響應(yīng)ICMP路由通告報(bào)文。 

修改的方法是：打開注冊(cè)表編輯器，找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters\Interfaces”分支，在右側(cè)窗口中將子鍵“PerformRouterDiscovery” REG_DWORD型的值修改為0（0為禁止響應(yīng)ICMP路由通告報(bào)文，2為允許響應(yīng)ICMP路由通告報(bào)文）。修改完成后退出注冊(cè)表編輯器，重新啟動(dòng)計(jì)算機(jī)即可。
（C）設(shè)置arp緩存老化時(shí)間設(shè)置 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters 

ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒數(shù),默認(rèn)值為120秒) 
ArpCacheMinReferencedLife REG_DWORD 
0-0xFFFFFFFF(秒數(shù),默認(rèn)值為600) 

說(shuō)明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,則引用或未引用的ARP 

緩存項(xiàng)在ArpCacheLife秒后到期.如果ArpCacheLife小于ArpCacheMinReferencedLife, 

未引用項(xiàng)在ArpCacheLife秒后到期,而引用項(xiàng)在ArpCacheMinReferencedLife秒后到期. 
每次將出站數(shù)據(jù)包發(fā)送到項(xiàng)的IP地址時(shí),就會(huì)引用ARP緩存中的項(xiàng)。 


曾經(jīng)看見有人說(shuō)過(guò)，只要保持IP-MAC緩存不被更新，就可以保持正確的ARP協(xié)議運(yùn)行。關(guān)于此點(diǎn)，我想可不可以通過(guò)，修改注冊(cè)表相關(guān)鍵值達(dá)到： 

默認(rèn)情況下ARP緩存的超時(shí)時(shí)限是兩分鐘，你可以在注冊(cè)表中進(jìn)行修改?？梢孕薷牡逆I值有兩個(gè)，都位于 


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 


修改的鍵值： 

鍵值1：ArpCacheLife，類型為Dword，單位為秒，默認(rèn)值為120 

鍵值2：ArpCacheMinReferencedLife，類型為Dword，單位為秒，默認(rèn)值為600 

注意：這些鍵值默認(rèn)是不存在的，如果你想修改，必須自行創(chuàng)建；修改后重啟計(jì)算機(jī)后生效。 


如果ArpCacheLife的值比ArpCacheMinReferencedLife的值大，那么ARP緩存的超時(shí)時(shí)間設(shè)置為ArpCacheLife的值；如果ArpCacheLife的值不存在或者比ArpCacheMinReferencedLife的值小，那么對(duì)于未使用的ARP緩存，超時(shí)時(shí)間設(shè)置為120秒；對(duì)于正在使用的ARP緩存，超時(shí)時(shí)間則設(shè)置為ArpCacheMinReferencedLife的值。 


我們也許可以將上述鍵值設(shè)置為非常大，不被強(qiáng)制更新ARP緩存。為了防止病毒自己修改注冊(cè)表，可以對(duì)注冊(cè)表加以限制。 


對(duì)于小網(wǎng)吧，只要事先在沒(méi)遇到ARP攻擊前，通過(guò)任意一個(gè)IP-MAC地址查看工具，紀(jì)錄所有機(jī)器的正確IP-MAC地址。等到受到攻擊可以查看哪臺(tái)機(jī)器出現(xiàn)問(wèn)題，然后通常是暴力解決，問(wèn)題也許不是很嚴(yán)重。但是對(duì)于內(nèi)網(wǎng)電腦數(shù)量過(guò)大，每臺(tái)機(jī)器都幫定所有IP-MAC地址，工作量非常巨大，必須通過(guò)專門軟件執(zhí)行。 

最新評(píng)論