1,分析问题:在开始不能上网的机器上运行cmd-->arp –a,查看数据列表是否有可疑地址,如下列表中红色字体显示: C:\Documents and Settings\sam>arp -a Interface: 10.0.6.8 --- 0x2 Internet Address Physical Address Type 10.0.6.1 00-0b-5f-bb-9d-80 dynamic 10.0.6.105 00-1a-92-74-ca-cd dynamic 再运行cmd-->arp –d,清除ARP列表,重新运行arp –a,看数据列表的可疑IP地址是否仍然存在。如果不存在,说明此IP地址正常,如果仍然存在,说明此机器可以肯定有ARP病毒,从下表可以看出:6.105的机器告诉“我”它的MAC地址是6.1(网关
): C:\Documents and Settings\sam>arp -a Interface: 10.0.6.8 --- 0x2 Internet Address Physical Address Type 10.0.6.1 00-1a-92-74-ca-cd dynamic 10.0.6.105 00-1a-92-74-ca-cd dynamic
2,当发现这种情况时,首先记下他的MAC地址,然后登陆到该VLAN网段的交换机上进行查找: 在交换机上输入命令show mac-address-table mac 001a.9274.cacd(MAC地址的输入格式不能错) 回车,如果显示的结果是交换机的千兆上连端口则说明不在此交换机上,如果显示的结果是交换机的某一个以太网口,则说明此端口与该IP地址相连,进入该接口模式将其管理性关闭。
3,再次运行-->cmd-->arp –a 看ARP列表是否正常,如下图所示则为正常: C:\Documents and Settings\sam>arp -a Interface: 10.0.6.8 --- 0x2 Internet Address Physical Address Type 10.0.6.1 00-0b-5f-bb-9d-80 dynamic
4,在有ARP病毒的用户机器上单独杀毒并解决,直到局域网恢复正常。
*关键技术:
show mac-address-table address XXXX.XXXX.XXXX mac-address-table是交换机的MAC地址表。交换机之所以能够直接对目的节点发送数据包,而不是像集线器一样以广播方式对所有节点发送数据包,最关键的技术就是交换机可以识别连在网络上的节点的网卡MAC地址,并把它们放到一个叫做MAC地址表的地方。这个MAC地址表存放于交换机的缓存中,并记住这些地址,这样一来当需要向目的地址发送数据时,交换机就可在MAC地址表中查找这个MAC地址的节点位置,然后直接向这个位置的节点发送。 通常此MAC地址表被管理员放在遗忘的角落,在大多数情况下也确实用不上MAC地址表。但是有时候反过来用却能起到意想不到的效果。
