最近!全國網(wǎng)吧瘋狂出現(xiàn)局部機器集體掉線問題! 
本人維護的網(wǎng)吧!以前出現(xiàn)過2次arp欺騙的病毒.不過自從換了PF-2.8 oem服務器系統(tǒng)之后! 
把網(wǎng)關和MAC綁定!基本不會出現(xiàn)arp欺騙問題! 
這次掉線也懷疑是病毒問題!但是竟過排查不是病毒! 
總結(jié)下經(jīng)驗: 

1:關閉局域網(wǎng)內(nèi)所有交換機5分鐘后。重新接通電源，觀察網(wǎng)絡是否恢復正常?。ㄔ颍嚎赡苁墙粨Q機長時間沒有重啟其內(nèi)存已用光，導致交換數(shù)據(jù)速度緩慢，或受網(wǎng)絡風暴影響導致阻塞）(另一種可能是交換機的某一個或幾個接口模塊損壞，或交換機故障引發(fā)的網(wǎng)絡內(nèi)暴,解決方法是更換交換機） 
解決方案2：找個機器裝個CommView，IP地址設置為你的路由器IP（拔掉路由器，使其脫離網(wǎng)絡）然后你看看內(nèi)網(wǎng)機器都向外面發(fā)送了什么包，看看哪個機器發(fā)包最多，朝什么IP發(fā)的？如果發(fā)現(xiàn)某機器向外發(fā)送大量目的IP是連續(xù)的包，且速度很快的話，請修理該機器！ 
（可能是原因是：局域網(wǎng)中的某一臺或者多臺機器感染了蠕蟲病毒，在瘋狂發(fā)包，導致路由器NAT連接很快占滿） 
解決方案3：如果上述二種原因被排除或不能解決其問題，可能是你的路由器性能低劣，處理能力有限造成的。你可以制作ROUTE 
OS之類的軟件路由器，或者購買3000~5000元左右的硬路由，并更換以觀察情況。 
解決方案4：局域網(wǎng)內(nèi)某臺/某幾臺計算機網(wǎng)卡接口損壞，而不停的向網(wǎng)絡中發(fā)送大量的*數(shù)據(jù)包造成網(wǎng)絡阻塞。（集成網(wǎng)卡容易出現(xiàn)此問題，尤其是網(wǎng)絡中機器較多時此問題也是比較難于排查的，可以試著斷開某臺交換機，進行逐一排查）在確認了是哪臺交換機內(nèi)的機器有問題后。逐臺打開這些機器，進入桌面，退出所有管理軟件，打開網(wǎng)絡連接，在不做任何事的情況下，看誰在大量發(fā)包或收包 
解決方案5：（此情況比較特殊：局域網(wǎng)中有人使用非法軟件惡意攻擊網(wǎng)吧 或 
ARP病毒攻擊網(wǎng)絡）在技術員制作母盤時應各面屏蔽非法攻擊網(wǎng)吧的一些軟件并在可能的情況下對網(wǎng)關MAC進行靜態(tài)ARP綁定現(xiàn)在也有很多硬路由器有專門的防掉線的功能了，我們網(wǎng)吧的飛魚星路由器就可以，可定時廣播正常的ARP包，如果你是軟件路由的話可以用軟件進行防護. 
這里也借鑒了別人的一些經(jīng)驗! 



關于近期全國網(wǎng)吧客戶機發(fā)生莫明掉線斷流的一些解決建議 
發(fā)生斷流時的狀況及現(xiàn)象： 

1：能PING通網(wǎng)內(nèi)其它客戶機，但PING不通路由，上不了網(wǎng)（連接到INTERNET)。 
2：能PING通網(wǎng)內(nèi)其它客戶機，同樣PING不通路由，但能上網(wǎng)（能連接到INTERNET）。 


當出現(xiàn)此狀況時，用下列操作可恢復連接：1：禁用網(wǎng)卡后啟用，2：重啟客戶機，3：重啟路由器，4：在路由上刪除其掉線機器對應的ARP列表。 

原因可能性分析：ARP病毒或其它最新的變種病毒及漏洞攻擊。 

分析上述狀況，可得出以下幾點結(jié)論： 
此病毒感染機器時，可能修改了客戶機的MAC地址，或ARP緩存中的本機對應MAC。 
此病毒感染機器時，可能修改了客戶機ARP緩存中網(wǎng)關IP相對應的MAC。 


A：當中毒的機器向網(wǎng)關路由發(fā)出請求時，網(wǎng)關路由的ARP緩存還未到刷新時間，網(wǎng)關路由內(nèi)的ARP緩存表中保存的是客戶機還未中毒前的MAC地址。而這個MAC地址，與客戶機當前請求的MAC（被病毒修改過）不一致，客戶機的連接請求被網(wǎng)關拒絕。即發(fā)生與網(wǎng)關斷流。 


B：當中毒的源頭機器向局域網(wǎng)發(fā)出假MAC廣播時，網(wǎng)關路由也接收到了此消息，并將這些假MAC地址與其IP相對應，并建立新的ARP緩存。導致客戶機與服務器斷開連接。 


解決方法： 
1：在網(wǎng)關路由上對客戶機使用靜態(tài)MAC綁定。PF-2.8 
OEM軟路由的用戶可以參照相關教程，或是在IP--->ARP列表中一一選中對應項目單擊右鍵選擇“MAKE 
STATIC”命令，創(chuàng)建靜態(tài)對應項。 

用防火墻封堵常見病毒端口：134-139，445，500，6677，5800，5900，593，1025，1026，2745，3127，6129 
以及P2P下載 

2：在客戶機上進行網(wǎng)關IP及其MAC靜態(tài)綁定，并修改導入如下注冊表： 
（A）禁止ICMP重定向報文 

ICMP的重定向報文控制著Windows是否會改變路由表從而響應網(wǎng)絡設備發(fā)送給它的ICMP重定向消息，這樣雖然方便了用戶，但是有時也會被他人利用來進行網(wǎng)絡攻擊，這對于一個計算機網(wǎng)絡管理員來說是一件非常麻煩的事情。通過修改注冊表可禁止響應ICMP的重定向報文，從而使網(wǎng)絡更為安全。 

修改的方法是：打開注冊表編輯器，找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters”分支，在右側(cè)窗口中將子鍵“EnableICMPRedirects”(REG_DWORD型)的值修改為0（0為禁止ICMP的重定向報文）即可。 

（B）禁止響應ICMP路由通告報文 

“ICMP路由公告”功能可以使他人的計算機的網(wǎng)絡連接異常、數(shù)據(jù)被竊聽、計算機被用于流量攻擊等，因此建議關閉響應ICMP路由通告報文。 

修改的方法是：打開注冊表編輯器，找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters\Interfaces”分支，在右側(cè)窗口中將子鍵“PerformRouterDiscovery” REG_DWORD型的值修改為0（0為禁止響應ICMP路由通告報文，2為允許響應ICMP路由通告報文）。修改完成后退出注冊表編輯器，重新啟動計算機即可。
（C）設置arp緩存老化時間設置 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters 

ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒數(shù),默認值為120秒) 
ArpCacheMinReferencedLife REG_DWORD 
0-0xFFFFFFFF(秒數(shù),默認值為600) 

說明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,則引用或未引用的ARP 

緩存項在ArpCacheLife秒后到期.如果ArpCacheLife小于ArpCacheMinReferencedLife, 

未引用項在ArpCacheLife秒后到期,而引用項在ArpCacheMinReferencedLife秒后到期. 
每次將出站數(shù)據(jù)包發(fā)送到項的IP地址時,就會引用ARP緩存中的項。 


曾經(jīng)看見有人說過，只要保持IP-MAC緩存不被更新，就可以保持正確的ARP協(xié)議運行。關于此點，我想可不可以通過，修改注冊表相關鍵值達到： 

默認情況下ARP緩存的超時時限是兩分鐘，你可以在注冊表中進行修改?？梢孕薷牡逆I值有兩個，都位于 


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 


修改的鍵值： 

鍵值1：ArpCacheLife，類型為Dword，單位為秒，默認值為120 

鍵值2：ArpCacheMinReferencedLife，類型為Dword，單位為秒，默認值為600 

注意：這些鍵值默認是不存在的，如果你想修改，必須自行創(chuàng)建；修改后重啟計算機后生效。 


如果ArpCacheLife的值比ArpCacheMinReferencedLife的值大，那么ARP緩存的超時時間設置為ArpCacheLife的值；如果ArpCacheLife的值不存在或者比ArpCacheMinReferencedLife的值小，那么對于未使用的ARP緩存，超時時間設置為120秒；對于正在使用的ARP緩存，超時時間則設置為ArpCacheMinReferencedLife的值。 


我們也許可以將上述鍵值設置為非常大，不被強制更新ARP緩存。為了防止病毒自己修改注冊表，可以對注冊表加以限制。 


對于小網(wǎng)吧，只要事先在沒遇到ARP攻擊前，通過任意一個IP-MAC地址查看工具，紀錄所有機器的正確IP-MAC地址。等到受到攻擊可以查看哪臺機器出現(xiàn)問題，然后通常是暴力解決，問題也許不是很嚴重。但是對于內(nèi)網(wǎng)電腦數(shù)量過大，每臺機器都幫定所有IP-MAC地址，工作量非常巨大，必須通過專門軟件執(zhí)行。 

最新評論