郁闷已久的网络时通时断的问题得到解决。。。(有遗留问题待处理)

终于下决心来处理这个网络问题,尽管有点摸不着头绪。
通过“修复”网卡后,能够恢复正常一阵子来看,估计是和ARP缓存MAC地址有关。

把前些日子粗暴的通过拨网线、盲目的重启8口小交换机或切换电源来修复问题的方法抛到一边,决定从抓包分析开始。

以前用得稍稍顺手的Sniffer Pro 4.7.5,没法在Windows Server 2003 Stand Edition上正常工作,因此不用Sniffer Pro已经好久,也忍了好久。有些问题不得不从分析数据包开始,从数据包中寻找网络故障的原因。

后来又用CommView,对Packet标签所能提供的讯息感觉不太爽。无奈的时候用用,但从未有过令人愉悦的使用经历。用惯了Sniffer Pro,并不喜欢CommView。

到Google和Baidu四处搜索,下了不少嗅探抓包软件。不是要注册,就是装完后发现被植入了一些非预期的垃圾软件。痛恨~统统卸载!

最后还是想到天天安全网(ttian.net)。这里的东东多,我的好多工具都是从这里下载的。最重要的是这里下的软件用起来有安全感,不用担心会莫名其妙的被人暗算。

Windwos平台的嗅探软件ttian.net也不多,最终下了个Etheral(一款免费的网络协议分析软件)。(顺便帮忙点了几下ttian.net上的Google广告,呵呵~算是报答!)

1、首先重复一下网络故障现象:
故障时网段内部分主机Ping网关不通,但Ping其它网段(只有一个网关哦),有的通,有的则不通(timed out)。故障时因特网访问有时正常,有时不正常(找不到网页)。

2、很快网络又从正常转为断开,候着电脑摸索着使用Etheral抓取了这个时段的数据包。从网络由通变为断开的时间上,检查有关ARP的数据包。

在正常通信时,持续在本机Ping网关59.1,返回ICMP 响应:Echo reply。
在变化到网络断开的时间里,持续Ping网关59.1返回timed out。检查抓包结果,发现此时网关返回一个ARP响应数据包给本机,其中包含了网关的MAC地址。

3、感觉此网络状态转换过程必有猫腻,于时检查本网段MAC地址为0011.5b8f.5cfd的主机,试图找到这台电脑。
先用LanExplorer扫描整个网段,得到本网段所有机器IP与MAC的对照表。扫完后也可以在DOS下用 arp -a的命令,得到各机器的MAC地址。

很快发现有两个IP的MAC地址(0011.5b8f.5cfd)竟然相同!!!

4、两个MAC相同的IP,一个是网关59.1,一个是P同事的PC。断开P同事的PC网络,发现网段内的其它机器与外界通信立刻恢复正常。
刷新一下本地ARP缓存(大家用什么DOS命令?我通过在网卡属性里选择“修复”来刷新本地MAC列表,感觉自己有点笨~)。

再将P同事的PC接入网络(接入后短时间内网络是正常的),并Ping该机(59.105),再用arp -a查看本地MAC缓存列表。发现网络正常时,网关IP(59.1)和P同事PC的IP(59.105)有自己不同的MAC。

5、登录到三层交换,确认网关IP对应的MAC是0004.801d.4b00。理所当然的将P同事的PC从网络上隔离,长时间观察网络通信状况。持续观察>2.5小时,网络均正常。

由此确认是P同事机器,使用自己的的MAC(0011.5b8f.5cfd)地址在网络上冒充网关的MAC(0004.801d.4b00)!!!致使网段内其它机器找不到正确的网关MAC(二层通过MAC地址互相通信),无法到真正的网关,因此Ping网关返回timed out!

6、怀疑P同事的机器安全防护失当
检查P同事的机器,发现安装有Symantec 9.0、费尔防火墙、微软新出的AntiSpyware反间谍软件。

同时在P同事机器上安装抓包软件Etheral,发现该机不停的发包联系21cn.com的一个子站链接。但不能确定是什么程序或进程在发包,郁闷~

该机安全措施不少,却仍然挡不住木马的渗透!!!感觉AntiSpyware形同虚设(严重BS微软的反间谍软件!!!)

检查进程(TaskInfo 6.0),检查网络连接状态(netstat -an),卸载了费尔防火墙,删除了比尔盖茨倾注了不少赞美之词的AntiSpyware,清理注册表启动项。

~连续观察了一下午,发现机器竟然恢复正常了说!!!(真是郁闷,还没找到真正的幕后真凶!)

只好将故障原因笼统的归结为ARP欺骗,导致网络不稳定,就此结束排错。

7、遗留问题:
~为何在Ping网关(只有一个网关)不通的状态下,Ping其它网段却能Ping通,因特网仍能访问?!
×有一好友说假冒网关的机器上,木马使用代理程序转发到外部的数据包。。。?

郁闷已久的网络时通时断的问题得到解决。。。(有遗留问题待处理)》有2个想法

发表评论

电子邮件地址不会被公开。 必填项已用*标注