|
對網(wǎng)絡(luò)管理員或用戶來說,發(fā)生“IP地址沖突”是不受歡迎的事情����,因?yàn)樵谝粋€(gè)網(wǎng)絡(luò)中,每個(gè)主機(jī)(嚴(yán)格來說是網(wǎng)絡(luò)接口)都應(yīng)該有唯一的一個(gè)IP地址���,如果出現(xiàn)2個(gè)或兩個(gè)以上主機(jī)使用相同的IP地址��,這些使用相同IP地址的主機(jī)屏幕會(huì)彈出對話框報(bào)告IP地址沖突(如下圖):
IP地址沖突
這將導(dǎo)致這些使用相同IP的機(jī)器不能正常訪問網(wǎng)絡(luò)���。但是,前幾天筆者卻用這個(gè)有如雞肋的功能幫了一個(gè)大忙���。是怎么一回事呢?聽我慢慢道來�。
本月12號那天����,我被派到月壇大廈的客服部門處理網(wǎng)路故障��。經(jīng)初步診斷���,發(fā)現(xiàn)網(wǎng)絡(luò)時(shí)斷時(shí)續(xù),重啟網(wǎng)關(guān)的話���,能夠正常好一會(huì)����,過一段時(shí)間后就不靈了�����。
這是一個(gè)十分簡單的網(wǎng)絡(luò):一條外網(wǎng)網(wǎng)線進(jìn)來��,接入一臺(tái)運(yùn)行FreeBSD的網(wǎng)關(guān)(做NAT用)�����,網(wǎng)關(guān)機(jī)的另外一個(gè)網(wǎng)絡(luò)接口接交換機(jī)���,客戶端全部接2個(gè)在交換機(jī)上���,同時(shí)�,網(wǎng)關(guān)機(jī)提供DHCP服務(wù)�����,所有的客戶機(jī)使用DHCP自動(dòng)獲取IP��。
首先�,我得確定故障發(fā)生在那里;重啟網(wǎng)關(guān)�,發(fā)現(xiàn)客戶機(jī)能正常上網(wǎng),但網(wǎng)關(guān)馬上提示DHCP請求超時(shí)的報(bào)警�,除此而外看不出什么端倪,去客戶端查IP��,發(fā)現(xiàn)獲取的IP地址正常����,于是又懷疑是不是交換機(jī)有問題,等一會(huì)���,發(fā)現(xiàn)故障又出現(xiàn)了�,重啟一下交換機(jī)�,網(wǎng)絡(luò)又正常了問題到底在哪里呢?一下犯暈了�����。
整理了一下思路�����,然后找了一臺(tái)客戶機(jī)(客戶機(jī)全是windows)�,先ping一下網(wǎng)關(guān)����,發(fā)現(xiàn)居然ping不通,ping網(wǎng)內(nèi)的另外一臺(tái)機(jī)器則正常���,重啟網(wǎng)關(guān)再用客戶機(jī)ping 網(wǎng)關(guān)則正常����,毫無疑問�����,網(wǎng)絡(luò)中了ARP欺騙病毒了�。
進(jìn)系統(tǒng)目錄,發(fā)現(xiàn)c:下有幾個(gè)異常的文件���,該名某個(gè)文件�,居然不讓操作,運(yùn)行命令 arp –a 發(fā)現(xiàn)多行arp請求�,看來是病毒引起的網(wǎng)絡(luò)堵塞故障。不能把所有的機(jī)器都與網(wǎng)絡(luò)段掉����,當(dāng)務(wù)之急是先找出當(dāng)前正在作崇的主機(jī)然后隔離處理。
怎么辨別是網(wǎng)絡(luò)中那臺(tái)主機(jī)中毒厲害呢?網(wǎng)上已經(jīng)有很多不錯(cuò)的辦法����。有人建議用抓包工具,然后分析抓到的包信息來確認(rèn)中毒的主機(jī)���,然而我手里沒有任何抓包工具,看來只好自己想招了���。經(jīng)過摸索�����,總結(jié)了下面一些行之有效的辦法��,供大家參考����。
在客戶機(jī)運(yùn)行路由跟蹤命令如 tracert –d www.163.com,馬上就發(fā)現(xiàn)第一條不是網(wǎng)關(guān)機(jī)的內(nèi)網(wǎng)ip,而是本網(wǎng)段內(nèi)的另外一臺(tái)機(jī)器的IP��,再下一跳才是網(wǎng)關(guān)的內(nèi)網(wǎng)IP;正常情況是路由跟蹤執(zhí)行后的輸出第一條應(yīng)該是默認(rèn)網(wǎng)關(guān)地址����,由此判定第一跳的那個(gè)非網(wǎng)關(guān)IP 地址的主機(jī)就是罪魁禍?zhǔn)住?/font>
問題又出來了,由于網(wǎng)內(nèi)的主機(jī)IP地址是通過DHCP自動(dòng)獲取來的�,怎么找出這個(gè)主機(jī)又是一個(gè)難題,幾十個(gè)機(jī)器�����,挨個(gè)用 ipconfig/all查非累死不可����,怎么辦?得走捷徑才行。突然之間冒出一個(gè)念頭:設(shè)置一個(gè)與查出來的中毒主機(jī)相同的IP地址�,然后……,接下來��,找一臺(tái)客戶端機(jī)器���,查一下其自動(dòng)獲取的IP地址��,沒有那么幸運(yùn)-這臺(tái)機(jī)器不是要揪出來的那個(gè)IP��,然后把這個(gè)主機(jī)的”自動(dòng)獲取IP地址”取消����,手動(dòng)設(shè)置機(jī)器的IP與有病毒的那個(gè)IP相同,設(shè)置生效后就聽見一個(gè)妹妹嚷道:“我的IP地址怎么跟別人沖突了呢?”�����,殊不知����,我要找的就是你呢!把妹妹的主機(jī)隔離網(wǎng)絡(luò),其他的機(jī)器上網(wǎng)立馬就順暢了���。
處理arp病毒的操作我想大家都應(yīng)該有經(jīng)驗(yàn)了��,在這里就不再多羅嗦。
簡單總結(jié)一下�����,其主要步驟有兩步:1���、運(yùn)行 tracert –d www.163.com 找出作崇的主機(jī)IP地址��。 2���、設(shè)置與作崇主機(jī)相同的IP���,然后造成IP地址沖突,使中毒主機(jī)報(bào)警然后找到這個(gè)主機(jī)����。
|
