網(wǎng)吧ARP掉線處理案例

首先在這里鄙視一下所有病毒的制作者， 不管是曾經(jīng)的純粹是為了炫耀自己的人還是現(xiàn)在的沖著有利可圖而去的人。

　　ARP欺騙病毒， 這個(gè)大家耳熟能詳?shù)牟《荆?隨便一問， 大家都能說出一二個(gè)中毒實(shí)例及解決方案。 同樣， 很多人也很疑惑， 到底應(yīng)該怎樣才能識(shí)別自己是否中了此病毒， 如何清除此病毒。 提供本人的一個(gè)清除實(shí)例， 希望能對(duì)大家有所幫助。

　　本人負(fù)責(zé)的網(wǎng)吧， 開始的配置大致為：四臺(tái)游戲服務(wù)器做的DOE負(fù)責(zé)無盤系統(tǒng)， 分別帶約40臺(tái)工作站， 一臺(tái)電影服務(wù)器， bbiagent做的軟路由， 收費(fèi)系統(tǒng)用的萬象2004， 工作站150臺(tái)， 電信100M光纖， 還有一臺(tái)專門用于下載的FTP服務(wù)器， 用的外網(wǎng)IP， 為的是不影響網(wǎng)吧的速度。 網(wǎng)絡(luò)一直穩(wěn)定運(yùn)行， 并未出現(xiàn)太多問題。 其后老板要求更換一半機(jī)器為有盤， 于是將配置改為：一臺(tái)游戲服務(wù)器負(fù)責(zé)有盤系統(tǒng)， 帶70臺(tái)工作站， 二臺(tái)游戲服務(wù)器做的DOE負(fù)責(zé)無盤系統(tǒng)， 分別帶40臺(tái)工作站， 其它不變， 網(wǎng)絡(luò)拓樸圖大致如下：

　　更換系統(tǒng)后， 運(yùn)行沒多久， 網(wǎng)絡(luò)開始掉線， 表現(xiàn)為少部分機(jī)器掉線， 后正常。 沒過多久， 一個(gè)交換機(jī)下所有工作站掉線， 其后影響至網(wǎng)吧內(nèi)所有工作站， 包括游戲服務(wù)器、電影服務(wù)器、收費(fèi)系統(tǒng)。 至此以為是電信問題， 少部分機(jī)器掉線歸于其他人并未感覺到短時(shí)間掉線。 但通過查看擁有外網(wǎng)IP的電腦， 并未掉線， 證實(shí)并非電信問題。

　　重啟路由， 故障依舊， 重啟工作站， 可以上網(wǎng)， 但用不了多久， 繼續(xù)掉線。 明顯的ARP病毒引起的問題， 其后在網(wǎng)上查找文章尋求解決方法， 下載ARP專殺工具， 沒用， 在工作站綁定網(wǎng)關(guān)IP-MAC地址（因?yàn)槭怯斜P， 我當(dāng)時(shí)是一臺(tái)一臺(tái)的工作站做的， 解除還原， 拷備， 安裝還原， 累了整整一個(gè)晚上， 還有動(dòng)用了我的半天工資， 請(qǐng)幾位MM吃冰激凌才一起幫我弄的。 要不是因?yàn)閾Q了有盤， 我再怎樣， 也不至于這么累吧， 輕輕松松綁定服務(wù)器就可以了。 事后想想， 我怎么就沒往好處想呢， 正如網(wǎng)上有位網(wǎng)管說的：“今天我包場(chǎng)上網(wǎng)”）， 也沒用， 因?yàn)槭擒浡酚砂。?不能在網(wǎng)關(guān)處做綁定的， 交換機(jī)更不具備這些功能了， 所以我那一晚的忙活證明了我的無知：只綁定工作站有什么用， 網(wǎng)關(guān)也要綁才行啊。

　　其后下載網(wǎng)絡(luò)執(zhí)法官、anti arp sniffer， 在收費(fèi)服務(wù)器上運(yùn)行， 查找病毒根源， 只要是有中毒表現(xiàn)的（狂發(fā)數(shù)據(jù)包， 修改MAC地址等）， 一律撥掉網(wǎng)線， 重新刻盤（還好有母盤）， 并等待網(wǎng)絡(luò)正常運(yùn)行， 在此過程中， 發(fā)現(xiàn)問題的機(jī)器不在少數(shù)， 其中包括收費(fèi)服務(wù)器， 電影服務(wù)器和眾多工作站， 都因?yàn)橛杏绊懚�重新刻盤， 而為了徹底， 痛下決心， 將電影服務(wù)器的近1TB的電影刪除， 重做系統(tǒng)， 重做RAID。 其后將讓自己一直記在心里的并未綁定網(wǎng)關(guān)一事告知老板， 要求購(gòu)買具備ARP綁定功能的路由。 為了盡快解決此問題（因?yàn)榈艟�， 網(wǎng)吧關(guān)門將近三天）， 老板從電腦城購(gòu)買俠諾FVR360路由一臺(tái)， 價(jià)值3800元， 下了決心要干掉那該死的ARP， 關(guān)門的三天損失已遠(yuǎn)非這點(diǎn)錢可比的了。

　　雖然整個(gè)過程看起來比較繁瑣， 但整體思路卻很清晰， 查找問題根源（查找中毒機(jī)器)， 解決問題所在之處（中毒機(jī)器斷網(wǎng)， 重新刻盤）， 該做好的防范工作一定要做好（網(wǎng)關(guān)綁定所有工作站IP-MAC地址， 工作站綁定網(wǎng)關(guān)IP-MAC地址， 路由的選擇， 如果經(jīng)濟(jì)上確實(shí)有限的可以考慮軟路由， 其它的還是買硬的吧）。 同時(shí)也總結(jié)一點(diǎn)經(jīng)驗(yàn)， 有盤系統(tǒng)的維護(hù)量比起無盤， 不知多了多少， 還是希望大家多用無盤吧。