1,分析問題:在開始不能上網的機器上運行cmd-->arp –a,查看數據列表是否有可疑地址,如下列表中紅色字體顯示: C:/Documents and Settings/sam>arp -a Interface: 10.0.6.8 --- 0x2 Internet Address Physical Address Type 10.0.6.1 00-0b-5f-bb-9d-80 dynamic 10.0.6.105 00-1a-92-74-ca-cd dynamic 再運行cmd-->arp –d,清除ARP列表,重新運行arp –a,看數據列表的可疑ip地址是否仍然存在。如果不存在,說明此IP地址正常,如果仍然存在,說明此機器可以肯定有ARP病毒,從下表可以看出:6.105的機器告訴“我”它的MAC地址是6.1(網關): C:/Documents and Settings/sam>arp -a Interface: 10.0.6.8 --- 0x2 Internet Address Physical Address Type 10.0.6.1 00-1a-92-74-ca-cd dynamic 10.0.6.105 00-1a-92-74-ca-cd dynamic
2,當發現這種情況時,首先記下他的MAC地址,然后登陸到該VLAN網段的交換機上進行查找: 在交換機上輸入命令show mac-address-table mac 001a.9274.cacd(MAC地址的輸入格式不能錯) 回車,如果顯示的結果是交換機的千兆上連端口則說明不在此交換機上,如果顯示的結果是交換機的某一個以太網口,則說明此端口與該IP地址相連,進入該接口模式將其管理性關閉。
3,再次運行-->cmd-->arp –a 看ARP列表是否正常,如下圖所示則為正常: C:/Documents and Settings/sam>arp -a Interface: 10.0.6.8 --- 0x2 Internet Address Physical Address Type 10.0.6.1 00-0b-5f-bb-9d-80 dynamic
4,在有ARP病毒的用戶機器上單獨殺毒并解決,直到局域網恢復正常。 *關鍵技術:
show mac-address-table address XXXX.XXXX.XXXX mac-address-table是交換機的MAC地址表。交換機之所以能夠直接對目的節點發送數據包,而不是像集線器一樣以廣播方式對所有節點發送數據包,最關鍵的技術就是交換機可以識別連在網絡上的節點的網卡MAC地址,并把它們放到一個叫做MAC地址表的地方。這個MAC地址表存放于交換機的緩存中,并記住這些地址,這樣一來當需要向目的地址發送數據時,交換機就可在MAC地址表中查找這個MAC地址的節點位置,然后直接向這個位置的節點發送。 通常此MAC地址表被管理員放在遺忘的角落,在大多數情況下也確實用不上MAC地址表。但是有時候反過來用卻能起到意想不到的效果。
