急!局域网内几台机子时断时好不知是何原因!?
公司局域网内有机台机子上网总是时断时好的,不知是不是arp欺骗啊!请各位达人指导指导啊!多谢!
------解决方案--------------------应当是ARP欺骗,首先应当杀毒.然后:
在能上网时,点出 [开始]菜单 - 选[运行] ,输入 "cmd " 并确定调出 "命令提示符 "窗口,进入MS-DOS窗口,输入命令:arp –a 查看网关IP对应的正确MAC地址,将其记录下来。如果已经不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网(攻击如果不停止的话),一旦能上网就立即将网络断掉(禁用网卡或拔掉网线),再运行arp –a。
手工绑定ARP
如果已经有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。手工绑定可在MS-DOS窗口下运行以下命令: arp –s 网关IP 网关MAC
例如:假设计算机所处网段的网关为218.197.192.254,本机地址为218.197.192.1在计算机上运行arp –a后输出如下:
=====================================================
注:网关的获取方法:
点出 [开始]菜单 - 选[运行] ,输入 "command " 并确定调出 "命令提示符 "窗口
输入以下命令并按回车键:
C:\> ipconfig
记录网关 IP 地址,即 "Default Gateway " 对应的值,例如 "192.168.0.254 " 。
Windows IP Configuration
Ethernet adapter Broadcom:
Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.0.1
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.0.254
-------------------------------------
=====================================================
C:\Documents and Settings> arp -a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 dynamic
其中00-01-02-03-04-05就是网关218.197.192.254对应的MAC地址,类型是动态(dynamic)的,因此是可被改变。
被攻击后,再用该命令查看,就会发现该MAC已经被替换成攻击机器的MAC,如果大家希望能找出攻击机器,彻底根除攻击,可以在此时将该MAC记录下来,为以后查找做准备。
手工绑定的命令为:
arp –s 218.197.192.254 00-01-02-03-04-05
’注释: (你的网关IP) (正常上网时arp –a 看到的网关IP)
绑定完,可再用arp –a查看arp缓存,
C:\Documents and Settings> arp -a
Interface: 218.197.192.1 --- 0x2
Internet Address Physical Address Type
218.197.192.254 00-01-02-03-04-05 static
这时,类型变为静态(static),就不会再受攻击影响了。但是,需要说明的是,手工绑定在计算机关机重开机后就会失效,需要再绑定。所以,要彻底根除攻击,只有找出网段内被病毒感染的计算机,令其杀毒,方可解决。找出病毒计算机的方法:
=======================================================
另:可以编写一个批处理文件arp.bat
操作方法:
打开一个记事本,输入如下内容:
@echo off
arp -d
arp –s 218.197.192.254 00-01-02-03-04-05
‘ (你的网关IP) (正常上网时arp –a 看到的网关IP) ---此行不要输入,只是注释用
另存为:arp.bat 文件类型选 "所有文件 "
将文件中的网关IP地址和MAC地址更改为实际使用的网关IP地址和MAC地址即可。
将这个批处理软件拖到“window-> 开始-> 程序-> 启动”中。
------解决方案--------------------重起arp欺骗也要考虑,硬件方面也要考虑一下
------解决方案--------------------首先,它们之间互相联网是否有问题?局域网。
ping 是否掉包?
是否同在一台交换机?
交换机是否有异常?
如果上述都不是,那么,极有可能是ARP攻击了,
下载个nbtscan试试(不是不是这个名)可以拦截的。