- 发帖
- 16457
- 今日发帖
- 最后登录
- 2016-05-24
|
从事电脑与网络技术支持者在工作中都会碰到各类大大小小的故障,而对故障快速处理的能力和经验都是靠在工作中不断积累的。下面就是一个非常奇特的网络疑难故障。通过本文向大家介绍在工作中如何排除此故障。 网络背景
公司的网络结构分192.168.1.0(此网段是分配给服务器的,其它网段的电脑都能访问)、192.168.2.0、192.168.3.0、192.168.4.0、192.168.5.0五个网段,子网掩码是255.255.255.0,通过中心三层交换机(北电的P8006)将各二层交换机连接,网络运行了二年多一直正常。 故障描述
192.168.5.0网段中的电脑出现A部门、B部门、C部门多数电脑访问192.168.1.0网段内服务器出现时通时断现象,而D部门与F部门电脑却访问正常;而当D部门与F部门电脑访问时通时断时,A部门、B部门、C部门多数电脑又比较正常;该网段的所有电脑,互相访问却没有一点问题。最奇特的是一到晚上该故障就自动消失了,白天一上班,又会无规律性地出现,严重地影响了工作。 解决过程
因为同网段能互相访问,说明网络物理连接肯定没有问题。检查中心交换机和二层机中的各项配置,发现根本没有改动,就简单认为是不是交换机长时间工作这么久了,可能有点问题,重新断电启动交换机,清除交换机的缓存,正常了二三天后,又重复出现上述故障。 为了彻底排查交换机本身是否有问题,笔者用一台备用交换机设置好后连上网络,再接上192.168.5.1网络中几台电脑测试,不久还是出现同样的故障。
这到底是什么故障?无意中在192.168.5.0网段中一台电脑上ping 192.168.5.254网关测试过程中,运行arp -a时,查到一奇怪记录,即当此电脑能ping通192.168.5.254网关时,192.168.5.254网关的MAC地址是00-0f-06-c9-22-d2,而ping不通192.168.5.254网关时,MAC地址却是00-0e-a6-4a-fe-08。 再找几台192.168.5.0网段中电脑检查测试,测出192.168.5.254网关MAC地址,也是同样的记录;192.168.5.254网关的MAC地址本来应该是00-0f-06-c9-22-d2,在ping不通时MAC却改变了,这说明网络中存在ARP地址欺骗攻击,也就是某一台电脑中了ARP欺骗木马程序。
小知识:ARP地址欺骗攻击即指当局域网内某台电脑运行了ARP欺骗木马程序时,会欺骗局域网内所有主机和默认网关,让所有上网的流量都经过病毒电脑,而造成该网段中的电脑不能访问指定的另一网段的电脑,另一网段的电脑也不能访问它们,只能访问中了ARP欺骗木马程序的电脑。通过使用arp -a命令可以显示默认网关的MAC地址为假,和真实MAC不同。 通过nbtscan工具快速查找到192.168.5.0网段中所有电脑的相对应IP地址的MAC地址列表,终于发现是D部门IP地址为192.168.5.15这台电脑的MAC地是00-0e-a6-4a-fe-08,立即断开此电脑,测试网络半小时以上故障再未出现。然后手动升级此电脑瑞星到18.40.02最新版杀毒检查,查到以下四种病毒:Trojan.DL.Agent,Trojan.Agen-dex,Trojan.DL.Agent.amk,Rootkit.Vanti.jv
小提示:nbtscan工具下载地址http://www.cpcw.com/download,将此工具解压到C盘根目录,然后在命令模式下运行nbtscan –r 192.168.5.0/24即可查到192.168.5.0网段所有的电脑的IP地址、MAC地址、计算机名称。 郁闷的是杀不掉,转到安全模式查杀居然根本查不到这种四种病毒,最后格式化硬盘重装系统,再将此电脑接入网络,到现在网络一切正常。
以后碰到类似的问题就可以考虑将ping、arp、nbtscan结合起来解决,这样将会大大缩短维护时间,提高工作效率。
|