网吧频繁断线的主要原因及解决方法

　　中国电信经过调查后确认：这种情况是由于一种名为“网吧传奇杀手Trojan.PSW.LMir.qh ” 的病毒爆发引起的。该病毒破解了《传奇2》的加密解密算法，通过截取局域网中的数据包，然后分析《传奇》游戏通讯协议的方法截获用户的信息。运行这个病毒，就可以获得整个局域网中传奇玩家的详细信息，盗取用户帐号信息。当局域网内某台工作站运行带有ARP欺骗的木马程序或外挂时，会欺骗局域网内所有主机和路由器，让所有上网的流量必须经过病毒主机。其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。

故障分析：
通过对故障现象的分析,初步判断为用户局域网故障，可能因为局域网内有网络病毒暴发或者ARP攻击！或者局域网内有人用＜网络执法官＞＜网络剪刀手＞＜P2P终结者＞＜网路岗＞进行扫描.攻击.控制IP或限速等．．．等

　　由于ARP欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的限制，用户会感觉上网速度越来越慢。当ARP欺骗的木马程序停止运行时，用户会恢复从路由器上网，切换过程中用户会再断一次线。该ARP欺骗木马程序一般都绑定在＜游戏外挂＞＜游戏加速器＞＜游戏作弊程序＞内，并双重加密很难被防火墙查杀！用户在执行EXE文件格式的外挂时木马已经不知不觉的运行了！
如何判断局域网是否有ARP欺骗攻击？
局域网内的任何一台工作站上(服务器效果更好)上运行DOS终端程序（即开始--运行--cmd或者command），在DOS窗口运行arp －a 命令，显示结果如下(具体运行结果网络可能不完全一直):
C: >arp -a
Interface: 10.254.0.18 --- 0x2
Internet Address Physical Address Type
10.254.0.1 00-02-b3-46-3c-10 dynamic
10.254.0.20 00-08-74-f9-9c-87 dynamic
10.254.0.88 00-0d-87-64-d0-09 dynamic
10.254.0.200 00-08-74-fa-86-21 dynamic
10.254.0.28 00-08-74-f9-9c-87 dynamic
如果出现上面的显示结果中的不同的IP对应同一mac地址时，说明网络中已经有ARP 木马程序的发生。可以分别在两台PC上运行 ipconfig /all 判断到底是哪台终端发生了ARP被欺骗的攻击。

在路由器上也可以查出：

也可以用GetAllMac工具对网段实时扫描

解决办法：
双向帮定方案

就是从根本杜绝他的欺骗途径。
欺骗是通过ARP的动态实时的规则欺骗内网机器，所以我们把ARP全部设置为静态可以根本解决对内网PC的欺骗。
方法为：

（１）到路由器上将所有工作站的MAC地址绑定具体看动画演示！　还不明白就加QQ:365356181
（２）找到路由器的lan口的MAC地址，把MAC地址通过静态的方式帮定到每台PC上面。我们用　arp -s 192.168.0.1 00-07-E9-2A-95-AA　BAT命令来实现做批处理文件放到启动里面,这样每次开机都会执行这个文件,即使出现ARP欺骗,由于我们设置的是静态方式,PC也不会去理会欺骗的ARP!如果设置成功会在PC上面通过执行 arp -a 可以看到相关的提示:
Internet Address Physical Address Type(注意这里)
192.168.1.1 00-0f-7a-05-0d-a4 static(静态)
没绑定的情况,在动态的情况下:
Internet Address Physical Address Type
192.168.1.1 00-0f-7a-05-0d-a4 dynamic(动态)　　　　　　
arp.bat里的网关请根据自己的MAC地址来改！

（３）在工作站上打上防ARP欺骗免疫补丁！
<将npf.sys这个文件复制到windowssystem32drivers里面，将其他3个dll文件复制到windowssystem32里面将这4个文件属性设为只读，也可以设定NTFS权限(安全)对当前用户或veryone禁止删除和修改！并可以防止局域网内运行＜网络执法官＞＜网络剪刀手＞＜P2P终结者＞＜网路岗＞等．．．等

说明：
在企业局域网内有人用＜网络执法官＞＜网络剪刀手＞＜P2P终结者＞＜网路岗＞进行扫描攻击或限速等．．．等导致网络环境不稳定！经常掉线！

解决方案：在局域网内做PPPOE,每台机器都可以工作在不同的网段