华为交换机ARP病毒处理方法

一、 ARP 病毒的表现形式:
1 、通过 网段部分甚至所有电脑都不能上网;
2 、打开 网页出现乱码;
3 、打开 网页提示有病毒;

二、 ARP病毒排查:

address 10.110.70.126 on VLAN909,  sourced by 0016-ec71-9996%Dec 10 13:05:17 2007 Huawei8508_1 ARP/4/DUPIFIP:Slot=4;Duplicate
address 10.110.70.126 on VLAN909,  sourced by 0016-ec71-9996
以上日志表示: VLAN 909 网段, MAC 地址为 0016-ec71-9996 的电脑中 ARP 病毒。
4 、如果日志里没有信息显示信息,就需要查看交换机 的 ARP 地址表。通过 dis arp | in VLAN 号,如 dis arp | in 909 。就会出现如下信息:
注 意:所有 IP 地址对应的 MAC 地址都是一样的,是不正常的。正常的 ARP 表应该是不同 IP 地址对应不同 MAC 地 址。
< Huawei8508_1>dis arp | in 909
Type: S-Static   D-Dynamic
IP Address       MAC Address     VLAN ID  Port Name              Aging Type
10.110.64.168    0016-ec71-9996  909      GigabitEthernet4/1/5   13    D    CunVPN
10.110.64.200    0016-ec71-9996  909      GigabitEthernet4/1/5   14    D    CunVPN
10.110.70.60     0016-ec71-9996  909      GigabitEthernet4/1/5   15    D    CunVPN
10.110.70.17     0016-ec71-9996  909      GigabitEthernet4/1/5   16    D    CunVPN
10.110.64.236    0016-ec71-9996  909      GigabitEthernet4/1/5   16    D    CunVPN
10.110.70.18     0016-ec71-9996  909      GigabitEthernet4/1/5   16    D    CunVPN
10.110.70.20     0016-ec71-9996  909      GigabitEthernet4/1/5   17    D    CunVPN
10.110.64.221    0016-ec71-9996  909      GigabitEthernet4/1/5   18    D    CunVPN
10.110.64.231    0016-ec71-9996  909      GigabitEthernet4/1/5   19    D    CunVPN
10.110.64.225    0016-ec71-9996  909      GigabitEthernet4/1/5   20    D    CunVPN
10.110.64.160    0016-ec71-9996  909      GigabitEthernet4/1/5   20    D    CunVPN
以上信息表示: VLAN 909 网段, MAC 地址为 0016-ec71-9996 的电脑中 ARP 病毒。

5 、用以上两种方法 可以轻松的判断哪个 MAC 地址中毒,但是无法确定 IP 地址。要想确定 IP 地址 是多少比较困难。需要依赖 E 盾等软件和日常的 IP 和 MAC 记 录表等工具来判断。
6 、如果以上工具都没有的话,就只能先登陆到相应的二层交换机(一定要注意,是二层接入交换机)。通过查看 MAC 地址和端口的对应表,以此来判断是哪个端口。具体方法如下:
< Huawei3900_1>dis mac-address 0016-ec71-9996
MAC ADDR   VLAN ID  STATE    PORT INDEX  AGING TIME(s)
0016-ec71-9996   909       Learned          GigabitEthernet1/0/5    AGING

由以上信息可以判断出 0016-ec71-9996 这台电脑是接在 3900 交换机的 GigabitEthernet1/0/5 口。
7 、为了暂时恢复网络,可以先关闭交换机的 GigabitEthernet1/0/5 口。如下:
< Huawei3900_1>sys
System View: return to User View with Ctrl+Z.
[Huawei3900_1]int g 4/1/5
[Huawei3900_1-GigabitEthernet4/1/5]shutdown
8 、 再登陆到网关交换机,把相应 VLAN 重新启动以下,如下:
[Huawei8508_1]int Vlan-interface 909
[Huawei8508_1-Vlan-interface909]shutdown
[Huawei8508_1-Vlan-interface909]undo shutdown

9、这样就可以恢复网络的正常运 行,至于那个中毒的机器的处理 。 需要用户自己处理 。建议直接 重装系统,并马上安装补丁、杀毒软件、 360 安全卫士、金山 ERP 防火墙等工具。避免重复中毒。这个非常重要,因为重复中毒的可能 性非常大。
ARP 病毒是个社会难题,目前可以说没 有一个厂家可以完全防护 ARP 病毒。特别是对于大的网络,防护 ARP 病毒基本成为不可能。正是由于这个特点,所以现在 ARP 病毒越来越疯狂,基本所有病毒都附带了这个功能,把 ARP 欺骗当成病毒的必需品

三、 ARP 病毒的查找方法:

如果 网络里出现上叙故障现状,很有可能是有电脑中 ARP 病毒。具体查杀办法如下:
1 、 先 确定故障网段的 VLAN  、网关和 IP 地址等信息;
2 、登 陆网关交换机(一定要网关交换机,不然是没有 ARP 表。)
3 、 通 过 dis log 命令查看日志,如果有病毒一般会有告警(但是也未必所有的都 有)。如果出现以下日志:
%Dec 10 13:06:18 2007 Huawei8508_1 ARP/4/DUPIFIP:Slot=4;Duplicate

您可能还喜欢...