网吧疯狂掉线抢修

网吧疯狂掉线抢修
转帖

这个可能有点老,但希望对大家有帮助
一、故障现象

赶到网吧现场，里面人挺多的，但因为网络状态不好，反响很大。一会儿这边有人喊掉线，一会儿那边有人叫卡死了。网吧老板一脸的无奈。

首先打开一台客户机，PING了一下路由和网关，发现网络极不稳定，掉包现象非常严重，网络延时在1500ms到4000多ms之间波动，大家可想而知，就这样的网络速度，玩网络游戏会是什么样的感觉。

在收费机上，通过万象计费软件服务端，使用“查看当前任务列表”功能，发现有多台客户机的进程中有不明程序。很明显，这些机器感染了病毒，这些病毒在局域内部大肆地进行传播，导致网络产生风暴，使得整个局域网速度被拖慢下来。大家也都知道，近来网络蠕虫病毒太多太厉害，已然泛滥成灾，成为社会一大公害。

使用“Arp –a”命令进一步检查发现，在局域内部存在ARP欺骗现象。

另据网吧老板自己介绍说，有时打开网站就会在系统进程中看到一个“11.exe”的程序，并演示给我们看，打开一个音乐网站后，我们在任务管理器中看到出现了“11.exe”进程。

二、基本情况

该网吧共有机器100多台，客户机系统采用WINDOWS XP SP2版，游戏对比更新服务器采用的是WINDOWS SERVER 2003，游戏更新软件采用的是迅闪4.7版，全套系统是由某网维公司制作的。

所有机器均采用固定IP地址的方式。客户机硬盘共分三个分区，C盘为系统分区，D盘为游戏分区，E盘为备份分区，系统采用冰点6.0单机版进行保护，只保护C盘和E盘，D盘游戏盘不保护，由游戏更新软件同服务器进行对比。

在客户机的启动项里，有一个RUN.VBS的快捷方式，是指向“D:\游戏菜单\RUN.VBS”的，系统制作者用它来开机执行一些管理程序。这一点为我们提供了一点方便，可以直接在服务器上进行修改这个RUN.VBS文件的内容，再通过迅闪客户端同步到各客户机上去。

三、IP绑定

对付ARP病毒欺骗，目前最好的方法是进行IP与MAC地址的绑定，最好是双向绑定，即在客户机上绑定路由器的IP和MAC地址，同时在路由器里也绑定每台客户机的IP和MAC地址。

（一）首先对客户机进行路由器IP和MAC地址的绑定。

在客户机上，运行CMD命令，进入命令控制台，输入“arp –a”命令，可以看到第一行“192.168.0.1”这个IP地址后面对应的MAC地址就是路由器的IP和MAC地址。

我们修改服务器上的“游戏菜单”里的RUN.VBS这个文件，在其中加上绑定路由器IP和MAC地址的代码，代码如下：


Dim shell

Set shell=Wscript.createobject("wscript.shell")

a=shell.run ("route change 0.0.0.0 mask 0.0.0.0
192.168.0.1",0)

gw="192.168.0.1"

mac="00-d0-f8-88-55-8d"

Set objShell=CreateObject("WScript.Shell")

objShell.Run "arp -s "+gw+" "+mac


这样修改后，客户机在运行迅闪调用程序后，会将此VBS文件同步到客户机的“D:\游戏菜单”下，在下次开机时就会自动运行这个更新了的VBS文件，从而进行了路由器IP和MAC地址的绑定。

（二）接着在路由上器上对每台客户机进行IP和MAC地址的绑定。

首先我们下载一个工具软件——超级网管（SuperLANadmin），我们利用它来查看局域内所有机器的IP和MAC地址。

将网吧内所有机器全部打开，运行超级网管，单击左侧的“扫描网络”即可将所有打开的机器的IP和MAC地址获取到。如图1所示。





接下来就是根据这些获取到的IP和MAC地址进行绑定了，将它们一一填入到路由器中去。该网吧使用的路由器是TL-R480T，具有静态IP地址绑定功能。

在旁边再打开一台机器，进入路由器的设置界面，点击左侧的“静态地址分配”功能，在右侧逐行填入每台机器的MAC地址和对应的IP地址，如图2所示。





做这件事情，最好两个人合作进行，一人负责报地址，一人负责录入。并且，两人要配合好，不可填写错误。每页可填写8行，填完后一定要先单击“保存”按钮，将这8个IP和MAC地址保存进去，然后再单击“下一页”来填写下8个IP和MAC地址。大家切记，每填完一页都要先保存一下，免得前功尽弃。我就犯过这个错误，曾经一口气地把几十个MAC地址和IP地址填进去，回头却发现除最后一页保存了外，其他页均空空如也，差点晕倒呀！如此按序进行，直到把所有机器的MAC地址和IP地址全部填写进去并保存。

至此，IP和MAC地址双向绑定工作完成。但需要将路由器重启才能生效，于是，将网吧内路由器和所有交换机均断电一分钟后再通电，所有客户机重启一遍，网络状态恢复正常。继续观测一段时间，没有发现异常现象。

四、绑定失效

虽然暂时网络状态算是稳定了下来，但我始终感觉事情并没有这么简单，因为从当时的迹象看来，并不仅仅只是单纯的ARP欺骗这么简单，里面似乎还含有某些攻击的成份，另外还有一些问题有待查证清楚。

果然，第二天中午，正值上网高峰期时，网吧再度告急，昨天的掉线情况再现。IP绑定并没有起到完全有效的防护作用。从收费服务端可以看到，客户机依然存在着众多的不明病毒进程，有的在Windows目录下，有的在Windows\System目录下，还有的在Temp目录下，而病毒名称则更是变化多端，没有一定的规律。

随便打开一台客户机，可以看出，刚开机时，系统进程都是完全正常的，说明客户机的保护系统并没有遭到破坏。但是，只要将客户机开着，不做任何操作，只是打开“任务管理器”，在那儿可以看到，一会儿后，系统进程中便会自动出现病毒的进程，而这时打开注册表，也可以看到启动项里多了病毒的启动项。重启客户机，状况还是如此。这种迹象表明，客户机保护系统并未被破坏，系统本身并没有感染病毒，只是由于其他客户机感染了病毒，从而在整个局域网内进行传播，不断地复制和感染其他客户机，从而造成整个局域网堵塞，速度暴慢。

那么，我们来仔细地分析一下，首先排除一下人为的破坏因素（我们暂时还未碰到这种恶意的行为），只能说明这些病毒是在顾客上网的过程中被自动下载到客户机上并运行，进而进行局域网内传播的。实话说，现在像QQ尾巴这样的病毒，已经不会被搞怕了的网友误点击而中招了，只可能是网友在浏览了某些带毒的网页而被传染的。这样，我们就必须要解决两个问题：一是如何防止病毒的自动下载，二是如何禁止病毒的网内传播。

五、系统分析

要解决问题，就必须要找到问题的关键所在，对症下药才行。

我们对这个网吧的客户机系统进行了一些分析。网吧系统并没有作过多的优化，也没有什么太多的限制，可以说，这是一个比较开放的系统。这种风格很好，我也不喜欢那种限制得太死的系统的。

这里我们首先借助一个简单的工具软件——Windows安全助手，来帮我们扫描一下系统存在的漏洞。扫描的结果让我们大吃一惊，系统竟然存在着共享漏洞，



系统的制作者可真够粗心的，虽然禁用了SERVER服务，但由于所有机器的系统都是从一个母盘克隆过来的，也就是说，所有机器的管理员帐号和密码都是相同的，这样，病毒就会利用共享漏洞将病毒从一台机器向其他机器进行传播了，这样不断地扩散开来，于是我们就看到上述情形了。这样，关于客户机被其他机器传染的途径找到了。

接着，我们搜索了一下，查找到一些资料，发现目前很多流行的病毒都是利用了Ado.Stream这个漏洞进行病毒的自动下载和释放的，我们需要打上这个微软的MS06-014安全补丁


为进一步查找系统可能存在的安全漏洞，我们借助另外一个小工具——腾讯公司的QQ医生，对系统进行检查，检查到系统存在着不少的漏洞。

我们重点要注意那些“可能允许远程执行代码”的漏洞。选定一个漏洞后，单击“查看详情”，可以看到关于这个漏洞的详细说明，注意漏洞补丁的下载地址，将补丁下载下来，我们一会儿需要这些补丁来封堵系统漏洞。





六、系统修补

找到问题的所在了，接下来我们需要对系统进行修补。在具体实施之前我们要先做好准备工作。

（1）准备一个移动硬盘或U盘，最好格式化一下，要确保干净，没有病毒，不然交叉感染可就麻烦大了。

（2）下载好各工具软件和各个补丁程序。保存到移动硬盘上。

（3）针对ARP病毒及最新的各种流行病毒，我们一般的做法是针对各病毒及其变种运行后生成的病毒文件，事先在系统内生成相同名称的文件夹，并设置属性为只读，同时利用NTFS的权限设置这些文件夹为拒绝任何人访问。这些大家可以到各大网吧类论坛上去转转，可以找到相关的资料，有很多的网管朋友编写了相应的批处理文件。鉴于病毒变种较多较快，所以这个批处理我们放到服务器上，利用迅闪同步到各客户机上去，在RUN.VBS文件后面再加上一句执行这个批处理就可以了。这样以后一有新的病毒变种，我们只要在服务器上修改一下这个批处理文件即可。

（4）制订一个工作流程，按计划有序地进行，不可遗漏。我们制订的操作流程是这样的：首先是用Windows安全助手的自动优化功能对系统进行一下修补。这里我们选择“高级用户”





，点击“完成”即可进行修复。修复完成后，还得要在此基础上去掉“系统优化”中“关闭Workstation服务”项前面的勾，就是不禁用这项服务，不然迅闪就用不了啦，确定后退出。




然后是安装各项安全补丁，这个过程中需要重启机器的一定要重启，千万不能图省事，以免后患。

（5）分工负责，分片进行。我们分成三个人一组，同时分片进行。第一个人负责拔网线（这很重要，要知道网吧同时还在营业，防止病毒窜过来）、开机、解锁、设置冰点为不保护状态。第二个人负责将移动硬盘上的软件及补丁拷贝到客户机的桌面上。第三个人随后，主要负责进行各补丁的修补，完成后再将冰点设置为保护状态，重启电脑，插上网线。如此进行即可。这些工作重要的是细心，要做到一台机不能遗漏，一项工序不能少。完成一片后，再进行另一片，确保没有遗漏。

几个人忙活了老半天的，终于将100多台机器一一搞定。在进行修补的过程中，随着一台台待修复机器的减少，网络状态逐渐趋于稳定。