故障原因:这是APR病毒欺骗攻击造成的。
引起问题的原因是由2个传奇外挂携带ARP木马攻击。这2个外挂是:
1、 传奇2冰橙子1.44版
2、 传奇2及时雨PK版
当有网友在网吧内使用上述外挂时,外挂携带的病毒会将该机器的MAC地址映射到其它机器的IP地址上,从而使其他机器1个IP地址会对应多个MAC地址,当被欺骗的机器重新启动时,代理服务器或路由的网关(通常为192.168.0.1)会因为一个IP适配多个MAC地址的错误,而停止向局域网内传输数据,这就是为什么掉线时内网是互通的,代理服务器也可以上网,而客户机不能上网的原因,是网关停止了工作,掉线只有在被欺骗的其他机器重启才会发生,所以故障现象比较隐蔽,难以排查。
处理对策:
方法一:这是目前最好的办法,将网吧内所有机器的IP地址和该机器网卡的MAC 地址绑定,使病毒无法欺骗,操作如下:
win98/me系统:
在windows→MSDOS模式下:
运行WINIPCFG命令,查看本机所用网卡的IP地址和网卡的MAC地址。
运行ARP→S IP地址 MAC地址
Win2000/xp系统:
在Windows→MSDOS模式下
运行IPCONFIG命令,查看本机器的IP地址和网卡的MAC地址
运行ARP→S IP地址 MAC地址
注意事项:
(1)网吧内所有机器都必须设为固定IP(如192.168.0.5)
(2)一定要将网吧内所有机器的IP地址和MAC地址绑定,有一台不绑定都不能彻底解决问题,代理服务器可以不用。
(3)有还原模式的一定要转储,该项操作必须保存。
方法二:这是临时应急的办法,上网人数较多时,不能叫客人都下线。
在网吧内任一台机器上安装“网络执法官”软件,软件天空www.skycn.com)有共享版下载,运行“网络执法官”可以看和网吧内所有机器的MAC地址和IP地址(当然所有机器要全打开),最好用笔记录下所有机器的MAC地址和IP地址,并和机器序号对应。安排人监视,一旦发现有某一MAC地址被其他多个IP地址映射时,立刻通过对应表找到该台机器,请该用户停止使用上述外挂。
这方法比较笨,但可解燃眉之急。
方法三:删除所有机器内的这两个外挂,并通过软件屏敝下载,店堂内张贴公告,请网友不要使用这两个外挂。
特此附一句,少数网吧的掉线是用这个外挂的原因,大部分的网吧是因为万象这个垃圾管理系统造成的,万象的工作原理是靠计算机名管理的,占网络资源和系统资源太多了,死机,无响应,提示资源不足大部分是万象的原因,特别是网吧本身网络状况不是很好的,装万象以后不是卡就掉线太正常了。
希望对你有所帮助!
以上内容来自http://www.54master.com/bbs/cgi-bin/topic.cgi?forum=44&topic=26983&show=0
