瑞星卡卡安全论坛

*********出现故障时的为11月20日起：


局域网访问各别网站出现dns错误

*机房配置：
机房为30台品牌机器一台IBM服务器。10M光纤独享。路由器为企业级TP-LINK。3台交换机。服务器上只有一个.net程序的网站，流量不大，日访问人数不足百人，没有下载页面。

*故障现象：
1、部分网页打不开，比如：百度知道可以打开，但是百度新闻和贴吧以及YAHOO之类的网站却打不开，mail.163.com等邮箱用户登录后显示为dns错误。
2、ping百度知道、外网网关、DNS等可以p通，但百度新闻ping不通。在华军软件园下载软件正常。
3、路由器中的arp映射中有个mac地址是ISP提供的光纤的固定IP的外网网关。

*曾经采取的部分解决手段，但未见效果：
1、怀疑是路由器问题，检查后排除。
2、怀疑是ARP攻击，所有机器安装了ARP防火墙，问题依旧。
3、TCP/IP协议初始化，问题依旧。
4、单独对几台电脑进行重分区，重新安装系统，问题依旧。
5、重建HOST文件，问题依旧。
6、路由器防火墙开关都不解决问题，从启用ARP映射内网机器IP到启动DHCP自动获取IP等方法，都不可行。

11月26日安装了正版的ARP卫士，并重新查杀所有机器，经检验在ARP卫士中的mac和路由中的mac完全对应，唯独在路由的arp映射表里，多出个mac指定的ip为外网网关，虽然有ARP攻击现象，但都已经被拦截防御，可是前面的故障现象依旧。

····完全故障时的为11月28日早六时起：


突然断网的情况如下
可以ping通外网网关，但ping 不通外网dns及其他IP，用IP登录其他网站也无法登录。但是有一个办公室的一台机器却在用QVOD看电影。直到我将光纤从路由断开连接到独立机器上才断开。
用一台机器断开连接，清COMS，重分区，全新安装系统后，独立连接光纤，可以ping通外网网关，但ping 不通外网dns及其他IP，用IP登录其他网站也无法登录。


····恢复故障时的为11月28日早十时起：

与网通取得联系，更换了外网IP地址及网关，一切恢复正常。
由此可见，这个不是本地机器的问题。怀疑是一种新型的攻击手法，屏蔽断本网的dns。
自更换IP到目前为止，一切正常。但是在路由的arp映射表里发现：同以前出问题时在路由中出现外网网关的MAC地址相同的一个MAC地址，对应的IP却是新更换的网关IP。因此怀疑，估计又不了多久，我这里还会出现更换IP之前的相同问题。
明天将局网内的全部机器重做系统，等待此MAC地址的消失。不知道局网里中了什么东东。。。。。

相同的状况已经在半个月前发生了一次，更换了一次外网IP及网关。坚持了三天左右，就开始又出现了如上问题。这是第三个IP及网关了，在找ISP都不知道会不会在给换IP和网关了。目前同网通机房网管联系，仍未找到症结所在。
另外要说明的是：同一个地区的，其他的光纤等网络都没有出现问题，只有我们公司出现此问题。感觉还是在某台机器上有什么东西在做怪。

另声明一下，本省我所知的有三个dns，其中一个不防P（前期故障时，曾同网通管理共同测试过，网络正常时可P通。），另二个是众所周知的dns，是防P的，而我ping的dns是本省的没有设防ping功能的一个dns，在更换IP后，可以PING通了。

   
        恳请各路高手指点迷津 ！


[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)