發生斷流時的狀況及現象:
1:能PING通網內其它客戶機,但PING不通路由,上不了網(連接到INTERNET)。
2:能PING通網內其它客戶機,同樣PING不通路由,但能上網(能連接到INTERNET)。
當出現此狀況時,用下列操作可恢復連接:1:禁用網卡後啓用,2:重啓客戶機,3:重啓路由器,4:在路由上刪除其掉線機器對應的ARP列表。
原因可能性分析:ARP病毒或其它最新的變種病毒及漏洞***。
分析上述狀況,可得出以下幾點結論:
此病毒感染機器時,可能修改了客戶機的MAC地址,或ARP緩存中的本機對應MAC。
此病毒感染機器時,可能修改了客戶機ARP緩存中網關IP相對應的MAC。
A:當中毒的機器向網關路由發出請求時,網關路由的ARP緩存還未到刷新時間,網關路由內的ARP緩存表中保存的是客戶機還未中毒前的MAC地址。而這個MAC地址,與客戶機當前請求的MAC(被病毒修改過)不一致,客戶機的連接請求被網關拒絕。即發生與網關斷流。
B:當中毒的源頭機器向局域網發出假MAC廣播時,網關路由也接收到了此消息,並將這些假MAC地址與其IP相對應,並建立新的ARP緩存。導致客戶機與服務器斷開連接。
解決方法:
1:在網關路由上對客戶機使用靜態MAC綁定。ROUTE OS軟路由的用戶可以參照相關教程,或是在IP--->ARP列表中一一選中對應項目單擊右鍵選擇“MAKE STATIC”命令,創建靜態對應項。
用防火牆封堵常見病毒端口:134-139,445,500,6677,5800,5900,593,1025,1026,2745,3127,6129 以及P2P下載
2:在客戶機上進行網關IP及其MAC靜態綁定,並修改導入如下註冊表:
(A)禁止ICMP重定向報文
ICMP的重定向報文控制着Windows是否會改變路由表從而響應網絡設備發送給它的ICMP重定向消息,這樣雖然方便了用戶,但是有時也會被他人利用來進行網絡***,這對於一個計算機網絡管理員來說是一件非常麻煩的事情。通過修改註冊表可禁止響應ICMP的重定向報文,從而使網絡更爲安全。
修改的方法是:打開註冊表編輯器,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters”分支,在右側窗口中將子鍵“EnableICMPRedirects”(REG_DWORD型)的值修改爲0(0爲禁止ICMP的重定向報文)即可。
(B)禁止響應ICMP路由通告報文
“ICMP路由公告”功能可以使他人的計算機的網絡連接異常、數據被竊聽、計算機被用於流量***等,因此建議關閉響應ICMP路由通告報文。
修改的方法是:打開註冊表編輯器,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters\Interfaces”分支,在右側窗口中將子鍵“PerformRouterDiscovery”REG_DWORD型的值修改爲0(0爲禁止響應ICMP路由通告報文,2爲允許響應ICMP路由通告報文)。修改完成後退出註冊表編輯器,重新啓動計算機即可。
(C)設置arp緩存老化時間設置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒數,默認值爲120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒數,默認值爲600)
說明:如果ArpCacheLife大於或等於ArpCacheMinReferencedLife,則引用或未引用的ARP
緩存項在ArpCacheLife秒後到期.如果ArpCacheLife小於ArpCacheMinReferencedLife,
未引用項在ArpCacheLife秒後到期,而引用項在ArpCacheMinReferencedLife秒後到期.
每次將出站數據包發送到項的IP地址時,就會引用ARP緩存中的項。
方法3:據網友稱刪除c:\windows\system32\npptools.dll也可防止ARP,具體有待測試。