address 10.110.70.126 on VLAN909, sourced by 0016-ec71-9996%Dec 10 13:05:17 2007 Huawei8508_1 ARP/4/DUPIFIP:Slot=4;Duplicate
address 10.110.70.126 on VLAN909, sourced by 0016-ec71-9996
以上日志表示: VLAN 909 网段, MAC 地址为 0016-ec71-9996 的电脑中 ARP 病毒。
4 、 如 果日志里没有信息显示信息,就需要查看交换机 的 ARP 地址表。通过 dis arp | in VLAN 号,如 dis arp | in 909 。就会出现如下信息:
注 意:所有 IP 地址对应的 MAC 地址都是一样的,是不正常的。正常的 ARP 表应该是不同 IP 地址对应不同 MAC 地 址。
< Huawei8508_1>dis arp | in 909
Type: S-Static D-Dynamic
IP Address MAC Address VLAN ID Port Name Aging Type
10.110.64.168 0016-ec71-9996 909 GigabitEthernet4/1/5 13 D CunVPN
10.110.64.200 0016-ec71-9996 909 GigabitEthernet4/1/5 14 D CunVPN
10.110.70.60 0016-ec71-9996 909 GigabitEthernet4/1/5 15 D CunVPN
10.110.70.17 0016-ec71-9996 909 GigabitEthernet4/1/5 16 D CunVPN
10.110.64.236 0016-ec71-9996 909 GigabitEthernet4/1/5 16 D CunVPN
10.110.70.18 0016-ec71-9996 909 GigabitEthernet4/1/5 16 D CunVPN
10.110.70.20 0016-ec71-9996 909 GigabitEthernet4/1/5 17 D CunVPN
10.110.64.221 0016-ec71-9996 909 GigabitEthernet4/1/5 18 D CunVPN
10.110.64.231 0016-ec71-9996 909 GigabitEthernet4/1/5 19 D CunVPN
10.110.64.225 0016-ec71-9996 909 GigabitEthernet4/1/5 20 D CunVPN
10.110.64.160 0016-ec71-9996 909 GigabitEthernet4/1/5 20 D CunVPN
以上信息表示: VLAN 909 网段, MAC 地址为 0016-ec71-9996 的电脑中 ARP 病毒。
5 、 用以上两种方法 可以轻松的判断哪个 MAC 地址中毒,但是无法确定 IP 地址。要想确定 IP 地址 是多少比较困难。需要依赖 E 盾等软件和日常的 IP 和 MAC 记 录表等工具来判断。
6 、 如 果以上工具都没有的话,就只能先登陆到相应的二层交换机(一定要注意,是二层接入交换机)。通过查看 MAC 地址和端口的对应表,以此来判断是哪个端口。具体方法如下:
< Huawei3900_1>dis mac-address 0016-ec71-9996
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
0016-ec71-9996 909 Learned GigabitEthernet1/0/5 AGING
以上日志表示: VLAN 909 网段, MAC 地址为 0016-ec71-9996 的电脑中 ARP 病毒。
4 、 如 果日志里没有信息显示信息,就需要查看交换机 的 ARP 地址表。通过 dis arp | in VLAN 号,如 dis arp | in 909 。就会出现如下信息:
注 意:所有 IP 地址对应的 MAC 地址都是一样的,是不正常的。正常的 ARP 表应该是不同 IP 地址对应不同 MAC 地 址。
< Huawei8508_1>dis arp | in 909
Type: S-Static D-Dynamic
IP Address MAC Address VLAN ID Port Name Aging Type
10.110.64.168 0016-ec71-9996 909 GigabitEthernet4/1/5 13 D CunVPN
10.110.64.200 0016-ec71-9996 909 GigabitEthernet4/1/5 14 D CunVPN
10.110.70.60 0016-ec71-9996 909 GigabitEthernet4/1/5 15 D CunVPN
10.110.70.17 0016-ec71-9996 909 GigabitEthernet4/1/5 16 D CunVPN
10.110.64.236 0016-ec71-9996 909 GigabitEthernet4/1/5 16 D CunVPN
10.110.70.18 0016-ec71-9996 909 GigabitEthernet4/1/5 16 D CunVPN
10.110.70.20 0016-ec71-9996 909 GigabitEthernet4/1/5 17 D CunVPN
10.110.64.221 0016-ec71-9996 909 GigabitEthernet4/1/5 18 D CunVPN
10.110.64.231 0016-ec71-9996 909 GigabitEthernet4/1/5 19 D CunVPN
10.110.64.225 0016-ec71-9996 909 GigabitEthernet4/1/5 20 D CunVPN
10.110.64.160 0016-ec71-9996 909 GigabitEthernet4/1/5 20 D CunVPN
以上信息表示: VLAN 909 网段, MAC 地址为 0016-ec71-9996 的电脑中 ARP 病毒。
5 、 用以上两种方法 可以轻松的判断哪个 MAC 地址中毒,但是无法确定 IP 地址。要想确定 IP 地址 是多少比较困难。需要依赖 E 盾等软件和日常的 IP 和 MAC 记 录表等工具来判断。
6 、 如 果以上工具都没有的话,就只能先登陆到相应的二层交换机(一定要注意,是二层接入交换机)。通过查看 MAC 地址和端口的对应表,以此来判断是哪个端口。具体方法如下:
< Huawei3900_1>dis mac-address 0016-ec71-9996
MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s)
0016-ec71-9996 909 Learned GigabitEthernet1/0/5 AGING
由以上信息可以判断出 0016-ec71-9996 这台电脑是接在 3900 交换机的 GigabitEthernet1/0/5 口。
7 、 为 了暂时恢复网络,可以先关闭交换机的 GigabitEthernet1/0/5 口。如下:
< Huawei3900_1>sys
System View: return to User View with Ctrl+Z.
[Huawei3900_1]int g 4/1/5
[Huawei3900_1-GigabitEthernet4/1/5]shutdown
8 、 再登陆到网关交换机,把相应 VLAN 重新启动以下,如下:
[Huawei8508_1]int Vlan-interface 909
[Huawei8508_1-Vlan-interface909]shutdown
[Huawei8508_1-Vlan-interface909]undo shutdown
9、 这样就可以恢复网络的正常运 行,至于那个中毒的机器的处理 。 需要用户自己处理 。建议直接 重装系统,并马上安装补丁、杀毒软件、 360 安全卫士、金山 ERP 防火墙等工具。避免重复中毒。这个非常重要,因为重复中毒的可能 性非常大。
ARP 病毒是个社会难题,目前可以说没 有一个厂家可以完全防护 ARP 病毒。特别是对于大的网络,防护 ARP 病毒基本成为不可能。正是由于这个特点,所以现在 ARP 病毒越来越疯狂,基本所有病毒都附带了这个功能,把 ARP 欺骗当成病毒的必需品
三、 ARP 病毒的查找方法:
如果 网络里出现上叙故障现状,很有可能是有电脑中 ARP 病毒。具体查杀办法如下:
1 、 先 确定故障网段的 VLAN 、网关和 IP 地址等信息;
2 、 登 陆网关交换机(一定要网关交换机,不然是没有 ARP 表。)
3 、 通 过 dis log 命令查看日志,如果有病毒一般会有告警(但是也未必所有的都 有)。如果出现以下日志:
%Dec 10 13:06:18 2007 Huawei8508_1 ARP/4/DUPIFIP:Slot=4;Duplicate