【IT168专稿】基本上每天企业网络管理员都要和企业内部网络的病毒打交道，在众多种类的病毒中又以蠕虫病毒危害最大清除最为困难，笔者最近也遇到了相同的问题，整个分析和解决过程比较系统和规整，在这里详细介绍给各位IT168的读者，希望各位可以在日后遇到同样问题时采用相同方法解决。

　　一、发现内网问题
　　企业内部有五十多台员工计算机，平时上网一切正常，然而本周一开始就出现了网络频繁中断的现象。主要表现为可以正常上外网，但是间隔5分钟到10分钟后就无法上网了，QQ无法登录浏览器也无法正常访问页面。

　　笔者所在公司使用的是光纤连接，以前也出现过因为光链路偶尔故障而短暂断线的问题，不过等待一段时间后就完好无损了。这次出现的频繁断线问题确实在以前没有遇到过。

　　二、分析内网故障
　　企业内网计算机的IP地址段为10.91.30.*，子网掩码为255.255.255.0，网关地址是10.91.30.254。为了判断是否是光纤链路故障，笔者在断网时使用ping 10.91.30.254来查看到网关的连接情况，因为企业网关是一台核心交换机，所有计算机都连接到这台核心交换机上并通过其光模块连接外部光纤。如果能够ping通核心交换机则说明问题不在内网而在于交换机自身以及光纤；如果不能够ping通则说明是内网或交换机接口有问题。

　　通过命令行模式ping 10.91.30.254后笔者发现在断网情况下检测是不通的，说明问题不在光纤。检查交换机并在交换机上ping相应的接口也没有发现任何不妥，于是笔者认定问题的根源在于内网，并将关注的焦点直接放到了病毒身上，因为这种时段时续的问题排除线路或物理损坏因素外最大的可能就是由病毒引起。

　　三、进阶检测内网故障
　　病毒造成企业内网所有计算机都无法顺利访问网关是ARP欺骗的最典型表现，所以笔者认定本地故障也是由ARP欺骗蠕虫病毒引起。于是在断网ping 10.91.30.254不通的情况下在本机执行arp -d命令清除ARP缓存表后就可以顺利ping通网关地址了。
　　通过清除ARP缓存表能够ping通网关进一步印证了笔者的猜测，于是在正常能够上网的情况下查看了网关的MAC地址，通过arp -a显示ARP缓存表可以看到10.91.30.254网关地址的MAC地址是00-0f-e2-19-59-38（如图1）。

图1

　　为了检测ARP欺骗数据包的来源笔者使用了wireshark内网sniffer工具，并将捕获数据包内容定义为仅仅ARP数据。
　　通过一段时间的捕获和检测后笔者发现在网络中频繁出现ARP数据包，内容则是告诉所有机器10.91.30.254的MAC地址是00-e0-4c-13-02-08，查看发送这类数据包的来源是一个realteks网卡，其地址是00-e0-4c-13-02-08，看来这就是问题的根源，只要能够找到MAC地址为00-e0-4c-13-02-08就可以解决频繁断网问题（如图2）。

图2

　　当然判断是需要有实际和理论的双重支持的，所以笔者分别对比了网络通畅和网络中断两种情况下本机的ARP缓存列表，在可以ping通网关时网关10.91.30.254的MAC地址为00-0f-e2-19-59-38，而在ping网关出现request timed out超时问题时本机缓存表中网关的MAC地址却变成了00-e0-4c-13-02-08，而且在缓存表中还出现了另外一个IP地址对应的MAC信息也为00-e0-4c-13-02-08，他的IP地址为10.91.30.244，于是又得到了一定的线索，那就是只要找到IP为10.91.30.244的机器即可解决问题（如图3）。

图3

　　四、循序渐进找出真凶
　　为了检测10.91.30.244这台计算机的位置和是否使用了虚假IP，笔者再次通过sniffer软件截获企业内网所有数据包，发现10.91.30.244赫然在目，这说明该地址不是一个伪造的地址而是一台真实的主机（如图4）。

图4

　　通过查询该机器的数据通讯记录发现该主机和其他内网机器的通讯为0，所有数据包都是发送到10.91.30.255地址的，这是一个广播地址，也就是说他频繁发送广播数据包造成伪造MAC地址其他机器均无法上网的恶劣后果（如图5）。

图5

　　小提示：之前笔者也通过在DHCP服务器的地址租约中去寻找真凶，不过地址租约表中没有该MAC对应的地址信息，这说明该主机并没有通过自动获得IP地址等网络参数的途径设置网络。
　　笔者继续在sniffer软件中查找主机通讯记录，最终发现了10.91.30.244地址对应的主机名是user-e357aa6f1f，根据主机名笔者找到了出问题计算机的机主，原来他最近重新安装了操作系统，然而却没有打开自动更新来下载众多安全补丁，最终结果造成了ARP欺骗病毒利用漏洞入侵系统，进一步造成整个企业内部计算机访问外部网络时断时续的问题（如图6）。

图6

　　五、总结
　　本次故障是由一台主机感染ARP欺骗蠕虫病毒带来的，然而危害却是巨大的，企业所有计算机访问网络都受到了影响。并且笔者也曾经尝试ping -a ip地址来查看出问题主机的机器名，结果是超时没有任何回馈信息，另外在出现断网问题后笔者也使用arp -s手工添加了ARP地址映射关系依然没有彻底解决问题，因此ARP欺骗蠕虫的危害还是巨大的，要彻底解决必须发现那台出问题的计算机。希望本次故障解决的全过程可以帮助各位IT168的读者开阔思路解决实际问题。