天天加班，一共也就五六个人干活，机器精彩动不动就被弄的中病毒，虽然都装着杀毒软件，都升级到最新版本了，但是杀毒软件装上了并不代表就不会中病毒，还是无数次的去手动清楚病毒，或者安全模式干掉病毒！
   终于前天早上那台IP是192.168.0.201的机器第N次中毒，连安全模式都进不去了，病毒无法手工清除，杀毒软件也无法开启了，没办法，幸好曾经每台机器都GHOST备份过，光盘启动进DOS，5分钟不到系统恢复了，然后升级杀毒软件KV2005至最新版本，完工走人！
   到下午，社科库老师过来学校转转，说她那里2台机器都上不了网，我过去看了看，发现2台机器都是网关192.168.0.1都ping不通，但数据库服务器192.168.0.2却能ping通，证明线路没有问题，又Ping了内网其他IP：192.168.0.222也是通的，看来是网关192.168.0.1出问题了！
   网关以前用的是TP-LINK的54M域展无线路由器，当时买时还很贵，用了不到半年，几乎每天都死机，应该是流量太大，办公室内网经常有看PPLive的，偶尔还有BT下载的，导致无限路由器流量过大而死机，经常有人给我打电话，说网又不通了，很无奈，只能跑过去拨掉电源再插上！过了一段时间，实在受不了了，刚好那时候发现了软件路由，于是去电子阅览室搬了台老的方正机，CPU,赛扬677,内存128M SDRAM，硬盘10G,主板SIS的忘记型号了，装了2块8139D的网卡，做Linux的软路由绰绰有余，于是网上看了很久，选择了RouterOS做软路由，下载了一个RouterOS破解版，用虚拟机测试了一下，设置成功没问题了，就刻录光盘，几分钟不到就装好了，然后配置好网络和路由以及SNAT，搬到机房服务器机柜，看着虽然很别扭，机箱都还是横着放的那种，几分钟不到就投入使用，效果就是看稳定性了，过了好久，一次也不死机或断网，很满意！
   发现这次的故障出在192.168.0.1的网关上面，于是到机房检查，发现网关的接口上面显示有流量啊，网络是正常的，看了一下当前连接，192.168.0.201的很多，是正常上着网，而192.168.0.192的也有少数，就社科库的2台机器没有，ping也ping不通，很郁闷，难道那2台机器中病毒了？又跑过去检查，发现根本没有病毒，机器很正常，杀毒软件也好好的！找了十多分钟，发现不了问题在那里，于是又跑楼上的工具书库看早上刚重装的系统的那台和旁边的机器，他们说可以上网，就是有时候断，今天早上才开始的，我说奇怪了，到刚重装的系统那台机器ping 192.168.0.1，网是通的很正常，到旁边的192.168.0.192上ping网关也是通的，不过马上不到10个数据包，就不通了，而旁边的192.168.0.201却还是通的，我就看着奇怪了，难道192.168.0.192也中病毒了？不可能吧？而192.168.0.201是早上刚重装的系统啊，杀毒软件也升级到最新了，我想应该可以排除它有问题的可能！再或者网关192.168.0.1有什么问题？
   再下来机房观察软路由网关192.168.0.1，一直查看流量图，终于发现一点问题，内网Lan流量经常会发送不了数据，流量为0，而接收正常，难道是8139D网卡坏了？记得刚开始装软路由网上就是一堆反映的，说坚决不要用8139网卡，不然会出很多问题的，而且想想这个主板，和8139网卡也不兼容，曾经装Win98时就经常启动不了机器，黑屏，而用D-Link的 DFE530网卡就没任何问题，主板太差了，于是更怀疑网卡故障，又暂时找不到别的网卡，只能再去找来2块新的8139D网卡换上，测试，还是问题依旧，怪事了！又看主板上就3个PCI插槽，还有一个不知道什么接口的转SCSI接口卡，把SCSI接口卡卸了，又怀疑2个PCI插槽有些冲突，于是将2个网卡分开插，中间隔开留一个空槽，还是解决不了问题，郁闷了，从没遇到过的怪事，越想越奇怪越离谱，难道局域网这几台无法上网的机器都中病毒了？一下子都中毒？难道主板坏了？难道软路由系统坏了？换个主板？重做软路由系统？刚好光驱已经拆了放电子阅览室，其他机器主板也在电子阅览室，还得跑楼上开门，拆一堆，烦啊，弄了一下午了，快下班了，没时间弄了，又找不到问题的原因，现在也没人上网了，先不了了之.....
   第二天早上过来，又重启一边软路由，打电话问1楼和4楼能否上网，1楼的说2台都不能，4楼的说一台能上，一台偶尔能上偶尔不能上，怪事了，我又仔细想了想，到软路由BBS到处搜索，GOOGLE搜索软路由断流，突然一个字眼出现在我的眼前：ARP欺骗，马上想到问题的可能了，那台刚重装系统的机器IP192.168.0.201的一直正常，一直都可以上网啊？为什么一开始就把它排除了呢？其他机器都不正常，就它正常，怎么忽视了？于是又搜索了一下ARP欺骗，发现确实有这样的病毒，一台机器感染以后通过局域网传播，导致整个局域网网络瘫痪！马上我本机Ping了一下192.168.0.1显示不通，又ping软路由公网IP：211.84.114.4，显示网络是通的，（我机器双网卡，一内网一公网）马上命令提示符里面ARP -A显示192.168.0.1的MAC地址是00-0c-76-63-7a-f8的，而211.84.114.4的MAC显示的是4c-00-10-ac-70-2c，一摸一样的2个网卡，应该前面的串是一样的，而最后1－2位不同而已，肯定不对，于是挨着ping局域网目前开机的几个IP，192.168.0.192  192.168.0.201   192.168.0.140  192.168.0.142 接着ARP -A，发现了，192.168.0.1的MAC和192.168.0.201的MAC是一摸一样的地址，问题就出在192.168.0.201上面，接着上软路由上面再次确认一下，看了一下IP，MAC地址表，靠，早怎么不看看这个MAC表啊，里面的所有MAC地址都是一样的，全部变成192.168.0.201的了，这样网络能通才怪，确认是192.168.0.201这台机器中了病毒，ARP欺骗病毒，于是马上到4楼早上刚装的那台机器检查，过去一看，杀毒软件的实时监测已经全部实效了，根本无法开启，看了一下进程，没什么奇怪的，打开注册表，检查开机自动启动程序，果然发现了3个进程，于是记住路径和文件名，进去找到该文件，直接就删除了，都不用进安全模式，然后删除注册表里面的开机自动启动项目，进服务里面检查了一下，也没有了！重新卸载杀毒软件，重新安装，升级到最新，开启所有实时监测！接着登陆软路由，将IP－MAC表里面的IP和MAC地址对应表全部清空！然后到无法上网的机器上面看了看，ping了一下网关192.168.0.1和192.168.0.201，果然MAC地址都是一样的，然后ARP -D 或者直接重新启动机器，重新ping网关，然后 arp -a 网关MAC地址恢复正常，于是打电话通知各个地方，命令提示符里面输入arp -d就可以上网了，正式解决了所有问题，和软路由网关没有任何关系，拆来拆去换网卡，甚至还想换主板或重做软路由系统之类的，完全没有一点必要，太粗心，一下子就将有问题的机器排除了，以为它刚重装系统，装着杀毒软件就没有任何问题，直接将它排除了，没仔细检查！也根本没想到是这种问题！
   不过总算是解决了问题，找到问题的原因了，也因为曾经没遇到过这样的网络故障吧，没有往这方面考虑，虽然很早就知道有ARP欺骗，有这样的病毒，但是遇见问题的时候又有谁马上就能想到呢？而且刚恢复的系统，那知道才那么短一段时间马上又因为使用者随意下载软件安装而中镖！也不应该一开始就将它排除在外！
   ARP欺骗太狠了，应该是ARP病毒！不仔细检查分析很难联想到这里来，再说局域网那么多机器！而且一般检查网络是否通畅，都只是用到Ping就为止了，很少情况下去看ARP表！很多软件网络执法官，P2P终结者等等。。。。。ARP欺骗的运用吧！本文出自 51CTO.COM技术博客