常见问题 A-TONE网络交换机的常见问题>>

应对ARP病毒故障

发布时间:2011-03-22 14:06:36

答案:

立即登录到618房间所使用的交换机系统上,查看了对应交换端口的工作状态,发现目标端口处于“up”状态,这说明交换端口的工作状态也是正常的。后来,笔者怀疑618房间的计算机使用的IP地址可能与其他计算机的IP地址发生了冲突,于是建议那位上网用户换一个IP地址试试,果然在重新更换IP地址后,618房间的计算机又能正常上网了。


然后,没有多长时间,618隔壁房间的计算机又打来电话向笔者求援说,他们的计算机也不能正常上网了;笔者经过查阅档案资料,发现出现故障的计算机基本都处于相同的虚拟工作子网中,看来这种故障现象并不简单是由人工修改IP地址造成冲突引起的,很可能是对应虚拟工作子网中出现了ARP病毒。


我们知道,现在ARP病毒非常疯狂,局域网中的计算机很容易感染该病毒,而该病毒往往会欺骗局域网中所有计算机以及网络设备,并强制目标计算机通过特定的病毒主机进行上网访问。很多计算机被感染了ARP病毒后,之所以不能上网或者访问网络的速度会下降,主要是由于在正常状态下目标计算机的网卡IP地址与物理地址是一一对应的,当目标计算机的网卡设备从DHCP服务器那里申请得到IP地址后,该地址就会被临时与网卡设备的物理地址“捆绑”在一起,并且还会被自动记忆存储到本地系统的ARP映射表中;当局域网中有计算机被意外感染了ARP病毒后,ARP病毒就会强行把病毒计算机的网卡物理地址映射到局域网的交换机或路由器设备上,并且还会自动向网络中发送大量的ARP广播信息,局域网中的其他计算机收到广播信息后,往往会错误地认为病毒计算机就是局域网的网关地址,这样一来其他计算机就会自动把上网请求转发到病毒计算机上,而病毒计算机实际上并不是真正的网关地址,所以其他计算机自然也就不能正常上网,即使能够上网速度也不会很快了。


为了查清楚究竟是哪台计算机感染了ARP病毒,笔者立即以系统管理员身份登录进入到目标交换机系统,进入该系统的全局配置状态,利用“display dia”命令,查看目标交换机各个交换端口的工作状态,结果发现网卡物理地址为0016-173d-43eb的计算机与对应虚拟工作子网的网关地址存在冲突现象;为了追查出网卡物理地址为0016-173d-43eb的计算机究竟位于哪个房间,笔者立即在交换机的全局配置命令行状态下,执行字符串命令“display mac”,从其后出现的结果界面中,笔者看到网卡物理地址为0016-173d-43eb的计算机使用了43交换端口。


为了防止ARP病毒继续影响局域网的工作状态,笔者在交换机的后台管理界面中,执行字符串命令“interface e0/43”,进入43交换端口的视图配置状态,并且在该状态下继续执行字符串命令“shutdown”,将43交换端口暂时关闭掉,这样一来病毒计算机就不能通过该交换端口向局域网网络发送ARP病毒信息了,此时与病毒计算机同处一个虚拟工作子网的其他计算机立即都能正常上网了。


临时关闭43交换端口的工作状态后,笔者立即又查看了组网时完善起来的档案记录,发现43交换端口被分配给了563房间使用上网了;于是,笔者立即电话联系563房间的上网用户,告诉他的计算机已经感染了ARP病毒,目前已经被强行从网络中断开,并且要求该用户必须使用最新版本的杀毒软件对其使用的计算机进行病毒查杀操作;在查杀完病毒之后,笔者在对应交换端口的视图配置状态下,又执行了“undo shutdown”字符串命令,重新将43交换端口的工作状态激活,之后再次执行“display dia”命令,发现局域网中已经不存在地址冲突现象了,这说明局域网中的ARP病毒故障已经被成功解决了。

下一步您可以:
查看A-TONE网络交换机产品 >>
查看网络交换机产品 >>
查看A-TONE网络交换机常见问题 >>