這將導(dǎo)致這些使用相同IP的機器不能正常訪問網(wǎng)絡(luò)。但是，前幾天筆者卻用這個有如雞肋的功能幫了一個大忙。是怎么一回事呢？聽我慢慢道來。

本月12號那天，我被派到月壇大廈的客服部門處理網(wǎng)路故障。經(jīng)初步診斷，發(fā)現(xiàn)網(wǎng)絡(luò)時斷時續(xù)，重啟網(wǎng)關(guān)的話，能夠正常好一會，過一段時間后就不靈了。這是一個十分簡單的網(wǎng)絡(luò)：一條外網(wǎng)網(wǎng)線進來，接入一臺運行FreeBSD的網(wǎng)關(guān)（做NAT用），網(wǎng)關(guān)機的另外一個網(wǎng)絡(luò)接口接交換機，客戶端全部接2個在交換機上，同時，網(wǎng)關(guān)機提供DHCP服務(wù)，所有的客戶機使用DHCP自動獲取IP。首先，我得確定故障發(fā)生在那里；重啟網(wǎng)關(guān)，發(fā)現(xiàn)客戶機能正常上網(wǎng)，但網(wǎng)關(guān)馬上提示DHCP請求超時的報警，除此而外看不出什么端倪，去客戶端查IP，發(fā)現(xiàn)獲取的IP地址正常，于是又懷疑是不是交換機有問題，等一會，發(fā)現(xiàn)故障又出現(xiàn)了，重啟一下交換機，網(wǎng)絡(luò)又正常了問題到底在哪里呢？一下犯暈了。

整理了一下思路，然后找了一臺客戶機（客戶機全是windows），先ping一下網(wǎng)關(guān)，發(fā)現(xiàn)居然ping不通，ping網(wǎng)內(nèi)的另外一臺機器則正常，重啟網(wǎng)關(guān)再用客戶機ping 網(wǎng)關(guān)則正常，毫無疑問，網(wǎng)絡(luò)中了ARP欺騙病毒了。進系統(tǒng)目錄，發(fā)現(xiàn)c:下有幾個異常的文件，該名某個文件，居然不讓操作，運行命令 arp -a 發(fā)現(xiàn)多行arp請求，看來是病毒引起的網(wǎng)絡(luò)堵塞故障。不能把所有的機器都與網(wǎng)絡(luò)段掉，當務(wù)之急是先找出當前正在作崇的主機然后隔離處理。

怎么辨別是網(wǎng)絡(luò)中那臺主機中毒厲害呢？網(wǎng)上已經(jīng)有很多不錯的辦法。有人建議用抓包工具，然后分析抓到的包信息來確認中毒的主機，然而我手里沒有任何抓包工具，看來只好自己想招了。經(jīng)過摸索，總結(jié)了下面一些行之有效的辦法，供大家參考！

在客戶機運行路由跟蹤命令如 tracert -d www.163.com,馬上就發(fā)現(xiàn)第一條不是網(wǎng)關(guān)機的內(nèi)網(wǎng)ip，而是本網(wǎng)段內(nèi)的另外一臺機器的IP，再下一跳才是網(wǎng)關(guān)的內(nèi)網(wǎng)IP；正常情況是路由跟蹤執(zhí)行后的輸出第一條應(yīng)該是默認網(wǎng)關(guān)地址，由此判定第一跳的那個非網(wǎng)關(guān)IP 地址的主機就是罪魁禍首。

問題又出來了，由于網(wǎng)內(nèi)的主機IP地址是通過DHCP自動獲取來的，怎么找出這個主機又是一個難題，幾十個機器，挨個用 ipconfig/all查非累死不可，怎么辦？得走捷徑才行。突然之間冒出一個念頭：設(shè)置一個與查出來的中毒主機相同的IP地址，然后…..，接下來，找一臺客戶端機器，查一下其自動獲取的IP地址，沒有那么幸運-這臺機器不是要揪出來的那個IP，然后把這個主機的"自動獲取IP地址"取消，手動設(shè)置機器的IP與有病毒的那個IP相同，設(shè)置生效后就聽見一個妹妹嚷道："我的IP地址怎么跟別人沖突了呢？"，殊不知，我要找的就是你呢！把妹妹的主機隔離網(wǎng)絡(luò)，其他的機器上網(wǎng)立馬就順暢了。

處理arp病毒的操作我想大家都應(yīng)該有經(jīng)驗了，在這里就不再多羅嗦。

簡單總結(jié)一下，其主要步驟有兩步：1、運行 tracert -d www.163.com 找出作崇的主機IP地址。 2、設(shè)置與作崇主機相同的IP，然后造成IP地址沖突，使中毒主機報警然后找到這個主機。

yajing