网吧ARP掉线解决实例

　　首先在这里鄙视一下所有病毒的制作者，不管是曾经的纯粹是为了炫耀自己的人还是现在的冲着有利可图而去的人。

　　ARP欺骗病毒，这个大家耳熟能详的病毒，随便一问，大家都能说出一二个中毒实例及解决方案。同样，很多人也很疑惑，到底应该怎样才能识别自己是否中了此病毒，如何清除此病毒。提供本人的一个清除实例，希望能对大家有所帮助。

　　本人负责的网吧，开始的配置大致为：四台游戏服务器做的DOE负责无盘系统，分别带约40台工作站，一台电影服务器，bbiagent做的软路由，收费系统用的万象2004，工作站150台，电信100M光纤，还有一台专门用于下载的FTP服务器，用的外网IP，为的是不影响网吧的速度。网络一直稳定运行，并未出现太多问题。其后老板要求更换一半机器为有盘，于是将配置改为：一台游戏服务器负责有盘系统，带70台工作站，二台游戏服务器做的DOE负责无盘系统，分别带40台工作站，其它不变，网络拓朴图大致如下：

　　更换系统后，运行没多久，网络开始掉线，表现为少部分机器掉线，后正常。没过多久，一个交换机下所有工作站掉线，其后影响至网吧内所有工作站，包括游戏服务器、电影服务器、收费系统。至此以为是电信问题，少部分机器掉线归于其他人并未感觉到短时间掉线。但通过查看拥有外网IP的电脑，并未掉线，证实并非电信问题。

　　重启路由，故障依旧，重启工作站，可以上网，但用不了多久，继续掉线。明显的ARP病毒引起的问题，其后在网上查找文章寻求解决方法，下载ARP专杀工具，没用，在工作站绑定网关IP-MAC地址（因为是有盘，我当时是一台一台的工作站做的，解除还原，拷备，安装还原，累了整整一个晚上，还有动用了我的半天工资，请几位MM吃冰激凌才一起帮我弄的。要不是因为换了有盘，我再怎样，也不至于这么累吧，轻轻松松绑定服务器就可以了。事后想想，我怎么就没往好处想呢，正如网上有位网管说的：“今天我包场上网”），也没用，因为是软路由啊，不能在网关处做绑定的，交换机更不具备这些功能了，所以我那一晚的忙活证明了我的无知：只绑定工作站有什么用，网关也要绑才行啊。

　　其后下载网络执法官、anti arp sniffer，在收费服务器上运行，查找病毒根源，只要是有中毒表现的（狂发数据包，修改MAC地址等），一律拨掉网线，重新刻盘（还好有母盘），并等待网络正常运行，在此过程中，发现问题的机器不在少数，其中包括收费服务器，电影服务器和众多工作站，都因为有影响而重新刻盘，而为了彻底，痛下决心，将电影服务器的近1TB的电影删除，重做系统，重做RAID。其后将让自己一直记在心里的并未绑定网关一事告知老板，要求购买具备ARP绑定功能的路由。为了尽快解决此问题（因为掉线，网吧关门将近三天），老板从电脑城购买侠诺FVR360路由一台，价值3800元，下了决心要干掉那该死的ARP，关门的三天损失已远非这点钱可比的了。

　　虽然整个过程看起来比较繁琐，但整体思路却很清晰，查找问题根源（查找中毒机器)，解决问题所在之处（中毒机器断网，重新刻盘），该做好的防范工作一定要做好（网关绑定所有工作站IP-MAC地址，工作站绑定网关IP-MAC地址，路由的选择，如果经济上确实有限的可以考虑软路由，其它的还是买硬的吧）。同时也总结一点经验，有盘系统的维护量比起无盘，不知多了多少，还是希望大家多用无盘吧。