近期,老校區(qū)上網(wǎng)問題現(xiàn)象如下:一部分電腦不能上網(wǎng),而同時同一網(wǎng)段的其他電腦上網(wǎng)正常;某些電腦上網(wǎng)上網(wǎng)時斷時續(xù)。還有老師反映,當(dāng)不能上網(wǎng)時,更改自己的IP地址又可以上網(wǎng),但過一段時間(十幾分鐘到半個小時左右)又不正常了。
經(jīng)過工程師操作,發(fā)現(xiàn)在家屬樓網(wǎng)段(211.67.107.X)有一個MAC地址00-0c-76-22-2f-94對應(yīng)了9個IP地址,在機房網(wǎng)段(211.67.100.X)有一個MAC地址00-11-09-16-8e-ce對應(yīng)了15個IP地址。把ARP表項清空,再過一段時間察看交換機ARP 表,發(fā)現(xiàn)這兩個MAC又對應(yīng)了多個IP地址。
因此分析是這兩臺PC感染ARP病毒攻擊網(wǎng)內(nèi)用戶,更改被攻擊者的MAC表項,造成被攻擊者上網(wǎng)不正常,時斷時續(xù)。(中ARP病毒的現(xiàn)象是一部分電腦不能上網(wǎng),同時同一網(wǎng)段的其他電腦可以上;或者是某臺pc有時可以上網(wǎng)有時不可上。)
解決建議:
根據(jù)以往經(jīng)驗,建議在客戶端安裝ARP防火墻單機版--AntiARP4.0beta4來防御ARP攻擊。可以先在影響嚴(yán)重的PC上使用觀察效果,然后進(jìn)行推廣。
下面這個軟件可以較好的解決這個問題,把此軟件安裝在不能上網(wǎng)的電腦上,然后把這個軟件啟動,過兩三分鐘就可以上網(wǎng)了。ARP防火墻單機版:此軟件可以防御ARP攻擊。
http://211.151.230.143/tmp/AntiARP4.0beta4.exe此頁面介紹了這個軟件的詳細(xì)功能
http://www.antiarp.com/newsopen2.asp?ArticleID=14彩影軟件的主頁
http://www.antiarp.com/index.asp 信息管理中心
2007年3月12日
