求助：内网MAC欺骗问题

orient_lucy · ‎01-17-2017

各位大侠：
我们单位内网400多台电脑，有的电脑网络正常，有的电脑网络状态正常，但是无法ping通服务器和网关。那些无法ping通的电脑修改MAC地址之后恢复正常，请教下这是什么原因，怎么能够查出这些是因为arp病毒，木马，还是什么东东，如何查出问题根源。

one-time · ‎01-17-2017

感谢您的提问！稍后会有小伙伴为您解答的阿！:)

wan1047623653 · ‎01-17-2017

你说的修改MAC后恢复正常，修改后的MAC是网卡的MAC还是？终端是静态地址还是dhcp获取的？
建议你在排查过程中，检查几点：
1、当你ping不通的时候，该终端所接交换机端口是否学习到该终端的MAC；
2、网关设备上能否查到该ARP表项及其他信息；
3、如果定位终端，能否在介入交换机上down该接口，再针对该终端分析，比如近期是否安装过什么软件或访问过什么网站

orient_lucy · ‎01-17-2017

1.交换机端口能学习到该终端的MAC
2.网关设备能查到这个机器的IP地址和MAC地址，但是终端arp -a查不到信息，终端winxp系统修改网卡mac地址，win7可以运行netsh下set neighbors "本地连接" “196.196.**.254” “核心查出的交换机MAC地址”
3.我们内网，偶尔有内外网的机器，无法知道有没有特殊的程序，能否从交换机上查到那个机器不停地发包或者网络堵塞在哪儿？

orient_lucy · ‎01-17-2017

修改的是终端的网卡MAC地址

Mansur · ‎01-17-2017

感觉像是有arp绑定。。然后没做dhcp绑定；
dhcp获取的ip和arp绑定的ip不一致

orient_lucy · ‎01-19-2017

昨天局域网内其中一个电脑无法联网，经过下面图的操作就可以