一个可能是路由器入侵的问题
家庭TP-link局域网,通过校园网连接外网。无线+有线各有一个电脑。SSID不广播,名称也改了,WPA-PSK加密,密码12位,但不属于复杂密码。无线设置了mac地址限制,上网也对mac设了限制。病毒的可能性不大,干净的电脑,应该无毒
症状:一般是在晚上,网络不稳定,开机还快,但是时间一长就连接不到外网。
初步诊断:从tplink路由器管理上看,有这么几个情况。
1.DHCP客户列表上无异常连接及mac;
2.但是从IP与MAC绑定的管理上看,ARP映射表出现192.168.1.100(本机)及4-5个异常IP和mac。比如:202.203.204.129(这个可能是网关,从网络参数上看到的),但是其它的几个IP不对,比如202.203.204.146/152/189/253等等。删除后马上有新的出现,没注意IP及mac的变化是否固定,好像都在变。
3.关闭无线功能,这些连接还在。于是切断WAN端的网线连接,这些连接不再出现。
4.但是无法上网啊。所以恢复路由器原始设置后,再重新配置,更改密码,关闭无线功能,设置mac限制,并关闭DHCP,采用静态地址分配。绑定本机ARP。
5.试验了一下,将202.203.204.129 的mac记住,用ARP绑定202.203.204.129 到一个不同的mac,然后就不能上网。只好放弃。
经过这些措施后,目前基本正常,除了202.203.204.129 (WAN口网关?)还存在,其它几个不再出现。
--
疑问:
1.搞过4个局域网,大同小异,第一次见到网关出现在ARP列表里的。更没有外部IP出现在ARP列表里的。不合道理,局域网路由器怎么看见外部的IP?难道是伪装?
2.或者真是病毒。但是瑞星没有识别,而且暂时没看见异常程序和进程。
3.如果不是病毒,那一定有攻击来自外部。不是无线来的,因为关闭无线后不改善情况。
4.有人偷改线路,房间外部检查了,没有显眼的异常。
5.学校的主机室有人在硬件或者软件上做了手脚。
--
各位高手有没有遇到这样的情况?帮忙分析下,尽快弄清楚问题所在。
谢谢!
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
