网络时通时断的问题.docVIP

郁闷已久的网络时通时断的问题得到解决。。。（有遗留问题待处理） 作者:大漠孤沙 日期:2006-03-18 字体大小: 小 中 大 终于下决心来处理这个网络问题，尽管有点摸不着头绪。通过“修复”网卡后，能够恢复正常一阵子来看，估计是和ARP缓存MAC地址有关。把前些日子粗暴的通过拨网线、盲目的重启8口小交换机或切换电源来修复问题的方法抛到一边，决定从抓包分析开始。以前用得稍稍顺手的Sniffer Pro 4.7.5，没法在Windows Server 2003 Stand Edition上正常工作，因此不用Sniffer Pro已经好久，也忍了好久。有些问题不得不从分析数据包开始，从数据包中寻找网络故障的原因。后来又用CommView，对Packet标签所能提供的讯息感觉不太爽。无奈的时候用用，但从未有过令人愉悦的使用经历。用惯了Sniffer Pro，并不喜欢CommView。到Google和Baidu四处搜索，下了不少嗅探抓包软件。不是要注册，就是装完后发现被植入了一些非预期的垃圾软件。痛恨～统统卸载！最后还是想到天天安全网（）。这里的东东多，我的好多工具都是从这里下载的。最重要的是这里下的软件用起来有安全感，不用担心会莫名其妙的被人暗算。Windwos平台的嗅探软件也不多，最终下了个Etheral（一款免费的网络协议分析软件）。（顺便帮忙点了几下上的Google广告，呵呵～算是报答！）1、首先重复一下网络故障现象：故障时网段内部分主机Ping网关不通，但Ping其它网段（只有一个网关哦），有的通，有的则不通（timed out）。故障时因特网访问有时正常，有时不正常（找不到网页）。2、很快网络又从正常转为断开，候着电脑摸索着使用Etheral抓取了这个时段的数据包。从网络由通变为断开的时间上，检查有关ARP的数据包。在正常通信时，持续在本机Ping网关59.1，返回ICMP 响应：Echo reply。在变化到网络断开的时间里，持续Ping网关59.1返回timed out。检查抓包结果，发现此时网关返回一个ARP响应数据包给本机，其中包含了网关的MAC地址。3、感觉此网络状态转换过程必有猫腻，于时检查本网段MAC地址为0011.5b8f.5cfd的主机，试图找到这台电脑。先用LanExplorer扫描整个网段，得到本网段所有机器IP与MAC的对照表。扫完后也可以在DOS下用 arp -a的命令，得到各机器的MAC地址。很快发现有两个IP的MAC地址（0011.5b8f.5cfd）竟然相同！！！ 4、两个MAC相同的IP，一个是网关59.1，一个是P同事的PC。断开P同事的PC网络，发现网段内的其它机器与外界通信立刻恢复正常。刷新一下本地ARP缓存（大家用什么DOS命令？我通过在网卡属性里选择“修复”来刷新本地MAC列表，感觉自己有点笨～）。再将P同事的PC接入网络（接入后短时间内网络是正常的），并Ping该机（59.105），再用arp -a查看本地MAC缓存列表。发现网络正常时，网关IP（59.1）和P同事PC的IP（59.105）有自己不同的MAC。 5、登录到三层交换，确认网关IP对应的MAC是0004.801d.4b00。理所当然的将P同事的PC从网络上隔离，长时间观察网络通信状况。持续观察2.5小时，网络均正常。由此确认是P同事机器，使用自己的的MAC（0011.5b8f.5cfd）地址在网络上冒充网关的MAC（0004.801d.4b00）！！！致使网段内其它机器找不到正确的网关MAC（二层通过MAC地址互相通信），无法到真正的网关，因此Ping网关返回timed out！6、怀疑P同事的机器安全防护失当检查P同事的机器，发现安装有Symantec 9.0、费尔防火墙、微软新出的AntiSpyware反间谍软件。同时在P同事机器上安装抓包软件Etheral，发现该机不停的发包联系21的一个子站链接。但不能确定是什么程序或进程在发包，郁闷～该机安全措施不少，却仍然挡不住木马的渗透！！！感觉AntiSpyware形同虚设（严重BS微软的反间谍软件！！！）检查进程（TaskInfo 6.0），检查网络连接状态（netstat -an），卸载了费尔防火墙，删除了比尔盖茨倾注了不少赞美之词的AntiSpyware，清理注册表启动项。～连续观察了一下午，发现机器竟然恢复正常了说！！！（真是郁闷，还没找到真正的幕后真凶！）只好将故障原因笼统的归结为ARP欺骗，导致网络不稳定，就此结束排错。7、遗留问题：～为何在Ping网关（只有一个网关）不通的状态下，Ping其它网段却能Ping通，因特网仍能访问？！×有一好友