如何解決局域網(wǎng)內(nèi)大部分電腦提示IP沖突

如何解決局域網(wǎng)內(nèi)大部分電腦提示IP沖突，并且上不去網(wǎng)故障現(xiàn)象：機器以前可正常上網(wǎng)的，突然出現(xiàn)可認證，不能上網(wǎng)的現(xiàn)象（無法ping通網(wǎng)關），重啟機器或在MSDOS窗口下運行命令ARP-d后，又可恢復上網(wǎng)一段時間。故障原因：這是APR病毒欺騙攻擊造成的。引起問題的原因一般是由傳奇外掛攜帶的ARP木馬攻擊。當在局域網(wǎng)內(nèi)使用上述外掛時，外掛攜帶的病毒會將該機器的MAC地址映射到網(wǎng)關的IP地址上，向局域網(wǎng)內(nèi)大量發(fā)送ARP包，從而致使同一網(wǎng)段地址內(nèi)的其它機器誤將其作為網(wǎng)關，這就是為什么掉線時內(nèi)網(wǎng)是互通的，計算機卻不能上網(wǎng)的原因。臨時處理對策：步驟一.在能上網(wǎng)時，進入MS-DOS窗口，輸入命令：arp–a查看網(wǎng)關IP對應的正確MAC地址，將其記錄下來。注：如果已經(jīng)不能上網(wǎng)，則先運行一次命令arp–d將arp緩存中的內(nèi)容刪空，計算機可暫時恢復上網(wǎng)（攻擊如果不停止的話），一旦能上網(wǎng)就立即將網(wǎng)絡斷掉（禁用網(wǎng)卡或拔掉網(wǎng)線），再運行arp–a。步驟二.如果已經(jīng)有網(wǎng)關的正確MAC地址，在不能上網(wǎng)時，手工將網(wǎng)關IP和正確MAC綁定，可確保計算機不再被攻擊影響。手工綁定可在MS-DOS窗口下運行以下命令：arp–s網(wǎng)關IP網(wǎng)關MAC例如：假設計算機所處網(wǎng)段的網(wǎng)關為218.197.192.254，本機地址為218.197.192.1在計算機上運行arp–a后輸出如下：C:\DocumentsandSettings>arp-aInterface:218.197.192.1---0x2InternetAddressPhysicalAddressType218.197.192.25400-01-02-03-04-05dynamic其中00-01-02-03-04-05就是網(wǎng)關218.197.192.254對應的MAC地址，類型是動態(tài)（dynamic）的，因此是可被改變。被攻擊后，再用該命令查看，就會發(fā)現(xiàn)該MAC已經(jīng)被替換成攻擊機器的MAC，如果大家希望能找出攻擊機器，徹底根除攻擊，可以在此時將該MAC記錄下來，為以后查找做準備。手工綁定的命令為：arp–s218.197.192.25400-01-02-03-04-05綁arp–s192.168.1.244-87-F-03-04-05定完，可再用arp–a查看arp緩存，C:\DocumentsandSettings>arp-aInterface:218.197.192.1---0x2InternetAddressPhysicalAddressType218.197.192.25400-01-02-03-04-05static這時，類型變?yōu)殪o態(tài)（static），就不會再受攻擊影響了。但是，需要說明的是，手工綁定在計算機關機重開機后就會失效，需要再綁定。所以，要徹底根除攻擊，只有找出網(wǎng)段內(nèi)被病毒感染的計算機，令其殺毒，方可解決。找出病毒計算機的方法：如果已有病毒計算機的MAC地址，可使用NBTSCAN軟件找出網(wǎng)段內(nèi)與該MAC地址對應的IP，即病毒計算機的IP地址，然后可報告校網(wǎng)絡中心對其進行查封。NBTSCAN的使用方法：下載nbtscan.rar到硬盤后解壓，然后將cygwin1.dll和nbtscan.exe兩文件拷貝到c:\windows\至幾百臺電腦主機時，查找的難度則會增加很多……

問題既然找出，下一步就要搜查病毒主機了。由于單位上網(wǎng)的小局域網(wǎng)內(nèi)只連有五、六臺左右的電腦，這使查找難度降低很多。但也并非一帆風順，因為病毒主機偽裝的MAC地址并沒有使用它自己的網(wǎng)卡MAC地址，而是虛構了一個地址，這使我再次陷入迷茫！但后來在使用arp-a命令時發(fā)現(xiàn)總有一個IP地址會出現(xiàn)(此IP既不是我電腦的，也不是網(wǎng)關的)，我由此懷疑這個IP地址就是一切故障的始作蛹者，于是我堅決地在集線器上找到了這個IP對應的網(wǎng)線并將之撥掉，果然在沒有這臺病毒主機干擾后，網(wǎng)絡終于恢復了正常。至此由該arp病毒引發(fā)的上網(wǎng)時斷時續(xù)問題隨著這臺病毒主機被抓出而劃上了完美的句號。

ARP病毒---導致網(wǎng)絡(ping)時斷時通---解決辦法

【解決思路】

1、不要把你的網(wǎng)絡安全信任關系建立在IP基礎上或MAC基礎上，(rarp同樣存在欺騙的問題)，理想的關系應該建立在IP+MAC基礎上。

2、設置靜態(tài)的MAC-->IP對應表，不要讓主機刷新你設定好的轉換表。

3、除非很有必要，否則停止使用ARP，將ARP做為永久條目保存在對應表中。

4、使用ARP服務器。通過該服務器查找自己的ARP轉換表來響應其他機器的ARP廣播。確保這臺ARP服務器不被黑。

5、使用“proxy”代理IP的傳輸。

6、使用硬件屏蔽主機。設置好你的路由，確保IP地址能到達合法的路徑。(靜態(tài)配置路由ARP條目)，注意，使用交換集線器和網(wǎng)橋無法阻止ARP欺騙。

7、管理員定期用響應的IP包中獲得一個rarp請求，然后檢查ARP響應的真實性。

8、管理員定期輪詢，檢查主機上的ARP緩存。

9、使用防火墻連續(xù)監(jiān)控網(wǎng)絡。注意有使用SNMP的情況下，ARP的欺騙有可能導致陷阱包丟失。

【HiPER用戶的解決方案】

建議用戶采用雙向綁定的方法解決并且防止ARP欺騙。

1、在PC上綁定路由器的IP和MAC地址：

1)首先，獲得路由器的內(nèi)網(wǎng)的MAC地址(例如HiPER網(wǎng)關地址192.168.16.254的MAC地址為0022aa0022aa局域網(wǎng)端口MAC地址>)。

2)編寫一個批處理文件rarp.bat內(nèi)容如下：

@echooff

arp-d

arp-s192.168.16.25400-22-aa-00-22-aa

將文件中的網(wǎng)關IP地址和MAC地址更改為您自己的網(wǎng)關IP地址和MAC地址即可。

將這個批處理軟件拖到“windows--開始--程序--啟動”中。

rp

顯示和修改“地址解析協(xié)議(ARP)”緩存中的項目。ARP緩存中包含一個或多個表，它們用于存儲IP地址及其經(jīng)過解析的以太網(wǎng)或令牌環(huán)物理地址。計算機上安裝的每一個以太網(wǎng)或令牌環(huán)網(wǎng)絡適配器都有自己單獨的表。如果在沒有參數(shù)的情況下使用，則arp命令將顯示幫助信息。

語法

arp[-a[InetAddr][-NIfaceAddr]][-g[InetAddr][-NIfaceAddr]][-dInetAddr[IfaceAddr]][-sInetAddrEtherAddr[IfaceAddr]]

參數(shù)

-a[InetAddr][-NIfaceAddr]

顯示所有接口的當前ARP緩存表。要顯示特定IP地址的ARP緩存項，請使用帶有InetAddr參數(shù)的arp-a，此處的InetAddr代表IP地址。如果未指定InetAddr，則使用第一個適用的接口。要顯示特定接口的ARP緩存表，請將-NIfaceAddr參數(shù)與-a參數(shù)一起使用，此處的IfaceAddr代表指派給該接口的IP地址。-N參數(shù)區(qū)分大小寫。

-g[InetAddr][-NIfaceAddr]

與-a相同。

-dInetAddr[IfaceAddr]

刪除指定的IP地址項，此處的InetAddr代表IP地址。對于指定的接口，要刪除表中的某項，請使用IfaceAddr參數(shù)，此處的IfaceAddr代表指派給該接口的IP地址。要刪除所有項，請使用星號(*)通配符代替InetAddr。

-sInetAddrEtherAddr[IfaceAddr]

向ARP緩存添加可將IP地址InetAddr解析成物理地址EtherAddr的靜態(tài)項。要向指定接口的表添加靜態(tài)ARP緩存項，請使用IfaceAd