瑞星卡卡安全论坛

我这里有一个大概60台左右机器的局域，大概有一半左右的机器可以上外网，外网的权限是在防火墙里添加的，分为高端用户（即可用BT下载等权限），低端用户（只能浏览网页和用网际快车）一直都没有什么问题。
但最近几天突然总出现瞬间断网的情况，ping网关也总断包，用snifferpro工具扫描内网发现有几台机器大量发包，发向www.sina.com.cn和www.skycn.com等网址，但这几台机器我都去处理了，用最新的瑞星和木马克星都杀过，并用卡卡清理了流氓软件，这几台机器已经没用问题，但打开低端用户的上网权限后，ping网关又出现断网的情况。（如果只开高端用户就没有问题，高端用户较少）。实在不明白其中的原因，请高手指教。

如果我的描述有什么不清楚的地方，可以问我，我在线等，谢谢。

中毒了，僵尸网络，那几台机子已经成别人的傀儡机了，
下次记得关多余的共享服务，不要设太弱的密码

可机器是干净的啊，什么病毒，木马都没有，再就是要怎么处理？而且处理后这几台机器发包已经正常了

你怎么知道是干净的啊？

瑞星和木马克星都杀过了，已经没有病毒和木马之类的了啊。

http://free.ys168.com/?wlqshkc
你去下载我做的样本杀杀看，
千万别运行，那可是真家伙
下载回去杀杀毒看有没有反应就可以了

......
我现在想知道解决我这边问题的方法和出这种情况的原因。

说了是中毒

我也知道应该是中毒，可现在不知道是什么毒，瑞星什么的也没反映，我没法解决这个问题啊，不能让我把机器全重做吧。

而且就算我重做了，不找到根本的解决方法也是白费啊。

病毒都要开机运行的，看看多了什么启动，多了点什么服务
顺藤摸瓜！

哦，哪我再看看吧，习惯性的信赖杀毒软件了，头疼

以下是对此情况的分析和建议的解决方法。

原因1：交换机内存耗尽

分析与解决：如果交换机长时间没有重启，内存资源会被耗尽，这将导致交换数据速度缓慢，或受网络风暴影响导致阻塞；另一种可能是交换机的某一个或几个接口模块损坏，或交换机故障引发的故障。关闭局域网内所有交换机5分钟，然后重新接通电源，观察网络是否恢复正常。

原因2：蠕虫病毒

分析与解决：局域网中的某一台或者多台机器感染蠕虫病毒后，会导致路由器NAT连接很快占满。此时，你应该给某一台机器装CommView，将该机的IP地址设置为路由器IP（此时要断开路由）然后查看内网机器发送的数据包，并查看哪台机器发包最多，往哪一个IP地址发的。一旦确定是某台或某几台机器有这类情况，你应该先查看该机器的系统是否中毒。

原因3：路由器老化或性能差。

分析与解决：路由器老化或者性能差会出现“吞吐不畅”的情况，数据不能得到及时处理。解决方法有两个，一个是网管自己动手制作“软路由”，另一个方法是网吧业主出钱购置新路由器。

原因4：网卡口损坏

分析与解决：某台或某几台计算机的网卡口损坏后，很容易出现大量数据包无法发送，造成网络阻塞（尤其是集成网卡）。

原因5：恶意攻击

分析与解决：一般的，这种情况是局域网内有人使用黑客软件恶意或ARP（全名：Address Resolution Protocol，地址解析协议）病毒攻击网络（ARP病毒攻击最常见于一些外挂和私服中）。对于利用黑客软件的攻击，只要找出局域网内的“黑手”就行了。解决ARP病毒最直接有效的方法，也是最根本的方法就是将MAC地址与网卡绑定

建议你PING下路由器网关，看断的时候内网到路由器以太口是否也丢包！ARP欺骗是一种可能 还有你两边断口配套吗？注意观察一下主机和交换机里的ARP的变化

我也想过是ARP的问题，但不太会解决，请指教，在BAIDU上搜到的方法我试了，没发现有什么问题，就是在任意机上输入ARP -A的哪种方法，没发现有重复MAC

如果真是ARP的话你就用静态路由表吧
反正才60多台的机子也不算多

要不每台机上装个Anti Arp