|
|
1#
发表于 2006-12-30 17:01
| 只看该作者
终于解决了,局域网络不稳定问题,高兴!
终于解决了,局域网络不稳定问题,高兴!
/ ^; ~/ E+ v# O3 j; \; M从上周五下午开始,网络开始不稳定,有些电脑可以上网,有些电脑不能上,过了一会又能上了,而且把网络连接重新启用也可以上,这是一个有价值意义的问题啊,现把处理过程归纳如下,希望对网管们有用.
! ]6 k0 q: A; a: t8 C( A7 ?
3 T+ ]& W* R' C) m; u5 J 一个看似很简单的问题,却不简单,当你解决以后,才发现其实问题很浅显,但是请教了很多专家都没法解决,现在发现很多问题要靠自己去领悟.
/ V# L/ \, `* L
4 Y8 k+ q$ z; Q, q 周五下午,发现网络不对劲,先是校长打电话说上不了网,一会又好了,奇怪!当时没在意,重新启动了一下交换机.9 T7 b# L1 W- O- _9 m& r; q
. l3 q) n4 {1 N9 _- ~: y
这周一上午,发现问题有点严重,开始访问不了校园网,过会又好了,自己的电脑也是,但是发现,如果把网络连接重新启用后又可以了,(后来才明白,把网络连接禁用再启用,是可以消除arp缓存的).可是问题的出现没有规律性,不好判断啊.6 Q0 Y' N3 b- B- c6 U' K1 G
$ @3 H6 { _7 Z$ Q7 F 于是我等等啊等,就等着我的电脑不能上网,我好看看问题所在.周一下午,情况出现了,又不能上,一部分电脑可以,一部分不可以.# W0 S( D9 {' P1 e4 G! k. z5 m1 @( i
; @7 q7 y- j- t' O 可惜时间持续不长,无法解决问题.
! d4 k# p9 v5 r L
0 q' v3 I; O2 A 周二上午,问题似乎更加严重,和我们老大讨论了一下,初步判定应该是交换机性能下降,网关端口出现问题,打电话给华为公司,让他们解决
$ i) @1 f% K+ Q4 u1 U: }/ w7 |* I3 n/ R O; [/ [0 c5 R: l
周二下午5点,问题再次出现,这次时间比较长,太好了(哈哈,哪有网管盼着不能上网的,但是没有办法啊,问题解决不了,代表着明天还会出现这种情况),( K) q+ A5 Z8 o
5 z2 B y+ N1 ], p; t" Z+ k
各位网管,这可是很有用的哦,
! w" M- l6 K# ^$ a2 w( S# G
! u5 |1 ~8 m9 \/ J3 V 1.首先,我ping同一个网段内的别的电脑,能ping通,但ping 网关,ping不通.
- n ^' v3 w# u, g( R M I- H* x/ M+ _: u& Q: ~
2.这时候,怀疑是arp欺骗的病毒,在ping完网关以后,用arp -a 命令即可以看出目前网关10.6.2.250的mac地址.
, b4 t) q0 i5 ^# q5 w$ R4 S- T: q" X" t+ D
3.哈哈,问题出现了,电脑现在的网关地址(mac地址)和真实的的不一样.ok,找出这个mac地址,找出这个人!!!!再找出这台电脑,同志们,这就是病毒源!!!!!! r# J1 J1 f7 A/ f
* r/ f E' }* c! y* }3 d另外,补充下arp欺骗的小知识
2 v2 q. q) f3 c7 ~' @: \; Y) o$ n
些天,ARP病毒入侵网络,!!中招现象:掉线,网关不通,为什么不通,因为是假的~~~~~~`
$ p* K2 Y) {5 I% H& V7 I- |. ]! X6 I6 `$ J. N. v1 y7 ~. A2 F5 A, P/ n' f2 n
【故障原因】 0 s* }5 u R% i3 o
0 p8 a& s7 J( O
局域网内有主机有意或无意使用ARP欺骗的木马程序,将自身伪造成网关。2 l% c" y) B- G2 A2 Y* X9 s9 b
, J0 Y/ w3 }9 Q7 _% A% n要了解故障原理,先简单说一下ARP协议。
3 Y2 N% ], g; ~, h$ S
. H, z5 T0 ~% ~( j 在局域网中,通过ARP协议来完成IP地址转换为第二层物理地址(即MAC地址)的。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞。 * f; j0 j$ X1 v) {: E; t
! X9 j7 N8 t" _/ t 从上面可以看出,ARP协议的基础就是信任局域网内所有的人,那么就很容易实现在以太网上的ARP欺骗。' r& R Q5 q& q6 y3 v. w. N( O! U
1 B" X+ K. w8 z4 g& ]
举个例子,对目标A进行欺骗,A去Ping主机C却发送到了DD-DD-DD-DD-DD-DD这个地址上。如果进行欺骗的时候,把C的MAC地址骗为DD-DD-DD-DD-DD-DD,于是A发送到C上的数据包都变成发送给D的了。这不正好是D能够接收到A发送的数据包了么,嗅探成功。
" M+ g& l/ [0 f9 E$ Y A对这个变化一点都没有意识到,但是接下来的事情就让A产生了怀疑。因为A和C连接不上了。D对接收到A发送给C的数据包可没有转交给C。
3 R* n9 L" [$ V) L) F8 n
3 O' `( H- ^' n- Y5 i D直接进行整个包的修改转发,捕获到A发送给C的数据包,全部进行修改后再转发给C,而C接收到的数据包完全认为是从A发送来的。不过,C发送的数据包又直接传递给A,倘若再次进行对C的ARP欺骗。现在D就完全成为A与C的中间桥梁了,对于A和C之间的通讯就可以了如指掌了。 , V. R# S0 ^. l# ]8 J+ R
( |% h1 Y* R' l1 y) W8 q, e1 G0 d, e' ?9 e& w* j
【故障现象】 (请细看!)
8 ]0 ~/ T6 |. Z. D$ P/ Q
- ]+ I$ W$ ?; x 当局域网内某台主机运行ARP欺骗的木马程序时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。 (时曾相识吧?)
9 |. f/ a- R1 D$ f& O9 V4 Y# w% l# D# e6 M5 K
切换到病毒主机上网后,如果用户已经登陆了某个网络软件服务器(QQ,或者网游),那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录服务器,这样病毒主机就可以盗号了。 * [7 r- S+ l$ M6 V2 M {: c# W1 }
/ y3 J0 k# v7 w. Q; d9 n! d
由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制,用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时,用户会恢复从路由器上网,切换过程中用户会再断一次线。 (大家是否觉得非常熟悉!!)( o9 p6 M$ _. t
5 _- i- O1 j( K7 s
【解决思路】 . L( z& Y$ R$ a% s
# N) e8 F! D8 T% n
1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
3 u5 G1 T8 o& m2 T' ^1 ?' L% G$ [# ~$ ?7 R* E/ M
2、设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。
6 J3 m( a+ f8 i/ U
5 J* t. i2 M% f 3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。 8 T; H& l- ?) q: A% j8 |
5 ]1 F( Z0 b- s" ^0 b
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。 1 Y1 f0 @/ L. Q* `- z
) J" S+ O5 O; Z* h" C
5、使用""proxy""代理IP的传输。
% i# _+ ]) y5 K1 ?
3 Z" o$ D1 y4 H X* R 6、使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
, {: H$ N- J' x' i; Y8 m9 ~2 n7 `4 }7 e* g
7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。
: _5 `, |- p' {" d
. L7 r* m% M- U* q- G7 y% w 8、管理员定期轮询,检查主机上的ARP缓存。
9 C, D, L4 v5 p, W. Q( T, {& @" e
9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
v( h* z3 y6 E
; i% X+ f/ N @# Y% O; M: u
) x" V" y5 D! O$ i, F$ w+ v* G! ]【校内局域网用户注意!!】 (请细看!)+ h q3 i" d9 z: q
9 u& I# c, A9 H G# T7 o t 一个最简单的识别假网关的办法:当发现网络不对劲时,将自己ip该为网关ip,
1 \3 \3 z* G) ^ Y 如果系统警告你:你不能使用该已被配置的静态地址,说明该回应是交换机发给你的arp广播的回应,是真网关。 r' z6 ` O- u
如果系统只发出IP冲突的警告,那说明当前的219.242.XXX.1可能是局域网内某主机伪造的!(arp表被清空时也会这么报,自己去判断-_-)+ C+ `: j7 d8 f
* n( I0 q% s+ X: R 如果你已经确认你所处网段已经发生以上现象,不要着急,因为只能说明你所处网段中有主机中了该病毒,不一定是自身中毒,这也是最难解决的地方,很不容易找出害群之马。 ^& H- i. ]2 m# n u# r o
运行 arp -a 能查看你近期所被强制经过得网关和最近与你有arp表信息交换的主机,但也不能完全确定得到的那些ip就是毒机。7 e. D) Z' [# A
但希望这些ip请尽快查看自己系统中有无可疑进程,目前没有任何杀毒软件能有效对付arp欺骗病毒,必须手动发现!(据说诺顿最新版可以查杀,没有试过,有诺顿的东西出来说下效果)8 b `) O) v! w* p+ c1 }
6 ?* @3 H6 p6 u& t' ? 最后再次强调一下,不要认为自己没中毒就事不关己高高挂起,只要局域网内有一台主机依然在伪造网管,整个网段都还会依然混乱。6 ~ v. E6 I: P# A- m' F: P- L
同时,伪造成网关的主机自身会发生什么,仔细看过病毒原理的人就会想到,被你强制拉过来的所有主机的流量都会经过你的主机,当你下个月发现流量余额负出一个天文数字,请不要怨天尤人。8 b2 L9 }+ t; r" v4 V& `
! _( G/ j- O' n; \/ r: k 最后,给不能上网的同学一个比较消极的解决办法:5 F. v6 o1 s b4 J U
, c9 u3 G& z4 m: c$ Q
采用静态绑定的方法解决并且防止ARP欺骗。
0 F8 z- B" Y* d) m8 |% _2 c2 ?/ N6 T3 O4 r3 T0 @5 e
1、在PC上绑定物理网关的IP和MAC地址: + ?! J2 X1 s c5 A: b/ J
9 y" p+ O$ [) ^5 Q 1)首先,获得网关的内网的MAC地址(例如网关地址192.168.16.1的MAC地址为0022aa0022aa局域网端口MAC地址>),该地址可以向网管查询。 |
|
没看明白。。。。。。。。。。。。
