【原创】利用网络IP地址冲突解决ARP病毒问题

会员268615

网络中如果有IP地址冲突的计算机存在，是最让我们心烦的。设置的时候显示如下：

                               
登录/注册后看高清大图

    其实，就像塞翁失马一样，好好坏坏并不是那么的绝对。如果可以好好利用这个功能，它也会帮我们解决一些网络里面的故障。

    前些日子，遇到一个网络故障。经过初步诊断，发现网络时断时续，如果重新启动网关的话，就会好一会儿，过一段时间，就会失灵。

    其实，他们的网络非常的简单：一条外网网线接入进来，然后连接一个RouterOS做网关（硬防火），网关机器的另外一块网卡接交换机。客户端全部接入交换机。

    同时，网关机器还提供DHCP服务。所有客户机自动获得IP地址。

    首先，我需要确定故障发生在什么位置。重新启动网关机器ROS，发现客户机能上网了。但是会马上提示网关DHCP请求超时的警报。除此之外，看不出任何其他问题。去客户端查IP，发现获取的IP地址正常。所以只能怀疑是不是交换机自身有什么问题。过了一会，问题又出现了，重新启动交换机，故障又消失了。

    整理了一下思路，然后找了一台客户机（客户机全是windows xp的操作系统），先ping一下网关机，发现居然ping不通，ping网内的另外一台机器则正常，重启网关再用客户机ping 网关则正常，毫无疑问，网络中了ARP欺骗病毒了。

    进系统目录，发现c:下有几个异常的文件，改名某个文件，居然不让操作，运行命令 arp –a 发现多行arp请求，看来是病毒引起的网络堵塞故障。不能把所有的机器都与网络断掉，当务之急是先找出正在作崇的主机，然后隔离处理。
    怎么辨别是网络中那台主机中毒呢？网上已经有很多不错的办法。有人建议用抓包工具，然后分析抓到的包信息来确认中毒的主机，然而我手里没有任何抓包工具，看来只好自己想招了。经过摸索，总结了下面一些行之有效的办法，供大家参考。
    在客户机运行路由跟踪命令如：tracert –d www.163.com,马上就发现第一跳不是网关机的内网ip，而是本网段内的另外一台机器的IP，再下一跳才是网关机的内网IP地址。正常情况下路由跟踪执行后的输出第一跳应该是默认网关机的IP地址，由此判定第一跳的那个非网关IP 地址的主机就是罪魁祸首。
     问题又出来了，由于网内的主机IP地址是通过DHCP自动获取来的，怎么找出这个主机又是一个难题，几十个机器，挨个用 ipconfig /all查非累死不可，怎么办？得走捷径才行。突然之间冒出一个念头：设置一个与查出来的中毒主机相同的IP地址，然后……，接下来，找一台客户端机器，查一下其自动获取的IP地址，没有那么幸运－－这台机器不是要揪出来的那个IP。然后把这个主机的“自动获取IP地址”取消，手动设置该机器的IP地址与有病毒的那个机器的IP地址相同。设置生效后就听见一个MM嚷道：“我的IP地址怎么跟别人冲突了呢？”，殊不知，我要找的就是你！把MM的主机隔离网络，其他的机器上网立马就顺畅了。
    接下来，就是处置ARP了，当然用的就是常规的方式，很简单。




简单总结一下，其主要步骤有两步：

1、运行 tracert –d www.163.com 找出作崇的主机IP地址；

2、设置与作崇主机相同的IP地址，然后造成IP地址冲突，使中毒主机报警然后找到这个主机，再进行病毒处理。