局域网网速ARP故障小例

1、.：.；局域网差不多20台电脑，在以前网速很正常，ping -t网络延迟在30-40之间。不过最近一台电脑带动了整个局域网好卡，ping -t在1000左右，只需把那台电脑网线给拔掉或用P2P把那台电脑给断开，网速就能恢复正常。那台电脑系统重做了，并用卡巴杀了一遍毒，结果还是不行，只需一连那台电脑就好卡。应该是arp病毒，他那台机器重装系统时，没弄干净。该病毒发作时候的特征为，中毒的机器会伪造某台电脑的MAC地址，如该伪造地址为网关效力器的地址，那么对整个网吧均会呵斥影响，用户表现为上网经常瞬断。 一、在恣意客户机上进入命令提示符(或MS-DOS方式)，用arp a命令查看： C:WINNTs

2、ystem32arp -a Interface: 192.168.0.193 on Interface 0 x1000003 Internet Address Physical Address Type 192.168.0.1 00-50-da-8a-62-2c dynamic 192.168.0.23 00-11-2f-43-81-8b dynamic 192.168.0.24 00-50-da-8a-62-2c dynamic 192.168.0.25 00-05-5d-ff-a8-87 dynamic 192.168.0.200 00-50-ba-fa-59-fe dynamic 可以看

3、到有两个机器的MAC地址一样，那么实践检查结果为 00-50-da-8a-62-2c为192.168.0.24的MAC地址，192.168.0.1的实践MAC地址为00-02-ba-0b-04-32，我们可以断定192.168.0.24实践上为有病毒的机器，它伪造了192.168.0.1的MAC地址。 二、在192.168.0.24上进入命令提示符(或MS-DOS方式)，用arp a命令查看： C:WINNTsystem32arp -a Interface: 192.168.0.24 on Interface 0 x1000003 Internet Address Physical Addre

4、ss Type 192.168.0.1 00-02-ba-0b-04-32 dynamic 192.168.0.23 00-11-2f-43-81-8b dynamic 192.168.0.25 00-05-5d-ff-a8-87 dynamic 192.168.0.193 00-11-2f-b2-9d-17 dynamic 192.168.0.200 00-50-ba-fa-59-fe dynamic 可以看到带病毒的机器上显示的MAC地址是正确的，而且该机运转速度缓慢，应该为一切流量在二层经过该机进展转发而导致，该机重启后网吧内一切电脑都不能上网，只需等arp刷新MAC地址后才正常，普通在

5、2、3分钟左右。 三、假设主机可以进入dos窗口，用arp a命令可以看到类似下面的景象： C:WINNTsystem32arp -a Interface: 192.168.0.1 on Interface 0 x1000004 Internet Address Physical Address Type 192.168.0.23 00-50-da-8a-62-2c dynamic 192.168.0.24 00-50-da-8a-62-2c dynamic 192.168.0.25 00-50-da-8a-62-2c dynamic 192.168.0.193 00-50-da-8a-62-

6、2c dynamic 192.168.0.200 00-50-da-8a-62-2c dynamic 该病毒不发作的时候，在代理效力器上看到的地址情况如下： C:WINNTsystem32arp -a Interface: 192.168.0.1 on Interface 0 x1000004 Internet Address Physical Address Type 192.168.0.23 00-11-2f-43-81-8b dynamic 192.168.0.24 00-50-da-8a-62-2c dynamic 192.168.0.25 00-05-5d-ff-a8-87 dyna

7、mic 192.168.0.193 00-11-2f-b2-9d-17 dynamic 192.168.0.200 00-50-ba-fa-59-fe dynamic 病毒发作的时候，可以看到一切的ip地址的mac地址被修正为00-50-da-8a-62-2c，正常的时候可以看到MAC地址均不会一样。 处理方法： 一、采用客户机及网关效力器上进展静态ARP绑定的方法来处理。 1 在一切的客户端机器上做网关效力器的ARP静态绑定。 首先在网关效力器代理主机的电脑上查看本机MAC地址 C:WINNTsystem32ipconfig /all Ethernet adapter 本地衔接 2: Con

8、nection-specific DNS Suffix . : Description . . . . . . . . . . . : Intel? PRO/100B PCI Adapter (TX) Physical Address. . . . . . . . . : 00-02-ba-0b-04-32 Dhcp Enabled. . . . . . . . . . . : No IP Address. . . . . . . . . . . . : 192.168.0.1 Subnet Mask . . . . . . . . . . . : 255.255.255.0 然后在客户机器的

9、DOS命令下做ARP的静态绑定 C:WINNTsystem32arp s 192.168.0.1 00-02-ba-0b-04-32 注：如有条件，建议在客户机上做一切其他客户机的IP和MAC地址绑定。 2 在网关效力器代理主机的电脑上做客户机器的ARP静态绑定 首先在一切的客户端机器上查看IP和MAC地址，命令如上。 然后在代理主机上做一切客户端效力器的ARP静态绑定。如： C:winntsystem32 arp s 192.168.0.23 00-11-2f-43-81-8b C:winntsystem32 arp s 192.168.0.24 00-50-da-8a-62-2c C:wi

10、nntsystem32 arp s 192.168.0.25 00-05-5d-ff-a8-87 。 3 以上ARP的静态绑定最后做成一个windows自启动文件，让电脑一启动就执行以上操作，保证配置不丧失。 二、有条件的网吧可以在交换机内进展IP地址与MAC地址绑定 三、IP和MAC进展绑定后，改换网卡需求重新绑定，因此建议在客户机安装杀毒软件来处理此类问题。阅历: 1:封锁局域网内一切交换机5分钟后。重新接通电源，察看网络能否恢复正常！缘由：能够是交换机长时间没有重启其内存已用光，导致交换数据速度缓慢，或受网络风暴影响导致阻塞(另一种能够是交换机的某一个或几个接口模块损坏，或交换机缺点引发

11、的网络内暴,处理方法是改换交换机 处理方案2：找个机器装个CommView，IP地址设置为他的路由器IP拔掉路由器，使其脱离网络然后他看看内网机器都向外面发送了什么包，看看哪个机器发包最多，朝什么IP发的？假设发现某机器向外发送大量目的IP是延续的包，且速度很快的话，请修缮该机器！ 能够是缘由是：局域网中的某一台或者多台机器感染了蠕虫病毒，在疯狂发包，导致路由器NAT衔接很快占满 处理方案3：假设上述二种缘由被排除或不能处理其问题，能够是他的路由器性能低劣，处置才干有限呵斥的。他可以制造ROUTE OS之类的软件路由器，或者购买30005000元左右的硬路由，并改换以察看情况。 处理方案4：局

12、域网内某台/某几台计算机网卡接口损坏，而不停的向网络中发送大量的*数据包呵斥网络阻塞。集成网卡容易出现此问题，尤其是网络中机器较多时此问题也是比较难于排查的，可以试着断开某台交换机，进展逐一排查在确认了是哪台交换机内的机器有问题后。逐台翻开这些机器，进入桌面，退出一切管理软件，翻开网络衔接，在不做任何事的情况下，看谁在大量发包或收包 处理方案5：此情况比较特殊：局域网中有人运用非法软件恶意攻击网吧 或 ARP病毒攻击网络在技术员制造母盘时应各面屏蔽非法攻击网吧的一些软件并在能够的情况下对网关MAC进展静态ARP绑定如今也有很多硬路由器有专门的防掉线的功能了，我们网吧的飞鱼星路由器就可以，可定时

13、广播正常的ARP包，假设他是软件路由的话可以用软件进展防护. 这里也自创了他人的一些阅历! 发生莫明掉线断流的一些处理建议 发生断流时的情况及景象： 1：能PING通网内其它客户机，但PING不通路由，上不了网衔接到INTERNET)。 2：能PING通网内其它客户机，同样PING不通路由，但能上网能衔接到INTERNET。 当出现此情况时，用以下操作可恢复衔接：1：禁用网卡后启用，2：重启客户机，3：重启路由器，4：在路由上删除其掉线机器对应的ARP列表。 缘由能够性分析：ARP病毒或其它最新的变种病毒及破绽攻击。 分析上述情况，可得出以下几点结论： 此病毒感染机器时，能够修正了客户机的MA

14、C地址，或ARP缓存中的本机对应MAC。 此病毒感染机器时，能够修正了客户机ARP缓存中网关IP相对应的MAC。 A：当中毒的机器向网关路由发出恳求时，网关路由的ARP缓存还未到刷新时间，网关路由内的ARP缓存表中保管的是客户机还未中毒前的MAC地址。而这个MAC地址，与客户机当前恳求的MAC被病毒修正正不一致，客户机的衔接恳求被网关回绝。即发生与网关断流。 B：当中毒的源头机器向局域网发出假MAC广播时，网关路由也接纳到了此音讯，并将这些假MAC地址与其IP相对应，并建立新的ARP缓存。导致客户机与效力器断开衔接。 处理方法： 1：在网关路由上对客户机运用静态MAC绑定。PF-2.8 OEM

15、软路由的用户可以参照相关教程，或是在IP-ARP列表中一一选中对应工程单击右键选择“MAKE STATIC命令，创建静态对应项。 用防火墙封堵常见病毒端口：134-，445，500，6677，5800，5900，593，1025，1026，2745，3127，6129 以及P2P下载 2：在客户机上进展网关IP及其MAC静态绑定，并修正导入如下注册表： A制止ICMP重定向报文 ICMP的重定向报文控制着Windows能否会改动路由表从而呼应网络设备发送给它的ICMP重定向音讯，这样虽然方便了用户，但是有时也会被他人利用来进展网络攻击，这对于一个计算机网络管理员来说是一件非常费事的事情。经过修

16、正注册表可制止呼应ICMP的重定向报文，从而使网络更为平安。 修正的方法是：翻开注册表编辑器，找到或新建“HKEY_LOCAL_MachineSystemCurrentControlSetServicesTCPIPParamters分支，在右侧窗口中将子键“EnableICMPRedirects(REG_DWORD型)的值修正为00为制止ICMP的重定向报文即可。 B制止呼应ICMP路由通告报文 “ICMP路由公告功能可以使他人的计算机的网络衔接异常、数据被GG、计算机被用于流量攻击等，因此建议封锁呼应ICMP路由通告报文。 修正的方法是：翻开注册表编辑器，找到或新建“HKEY_LOCAL_M

17、achineSystemCurrentControlSetServicesTCPIPParamtersInterfaces分支，在右侧窗口中将子键“PerformRouterDiscovery烺EG_DWORD型的值修正为00为制止呼应ICMP路由通告报文，2为允许呼应ICMP路由通告报文。修正完成后退出注册表编辑器，重新启动计算机即可。 C设置arp缓存老化时间设置 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices:TcpipParameters ArpCacheLife REG_DWORD 0-0 xFFFFFFFF(秒数,默许值为120秒

18、) ArpCacheMinReferencedLife REG_DWORD 0-0 xFFFFFFFF(秒数,默许值为600) 阐明:假设ArpCacheLife大于或等于ArpCacheMinReferencedLife,那么援用或未援用的ARP 缓存项在ArpCacheLife秒后到期.假设ArpCacheLife小于ArpCacheMinReferencedLife, 未援用项在ArpCacheLife秒后到期,而援用项在ArpCacheMinReferencedLife秒后到期. 每次将出站数据包发送到项的IP地址时,就会援用ARP缓存中的项。 曾经看见有人说过，只需坚持IP-MAC缓存不被更新，就可以坚持正确的ARP协议运转。关于此点，我想可不可以经过，修正注册表相关键值到达： 默许情况下ARP缓存的超时时限是两分钟，他可以在注册表中进展修正。可以修正的键值有