网吧用了两根光纤，一条是电信，一条网通，现在是电信频繁掉线。我看了很久找不到愿因。那位大大帮我看看啊。谢谢了！！！

look

老兄:查下内网192.168.0.4的电脑..或者直接抓这个地址到任意地址的包发过来...

Informational        2007-3-12        22:19:58        Expert: One-Way Traffic, Packet 13 (219.128.99.150 -> 192.168.0.4)
单向访问。

[ 本帖最后由 xiaotian 于 2007-3-13 13:00 编辑 ]

Major        2007-3-12        22:23:32        Expert: ARP Request Storm (188 requests per 2.000000000 seconds), Packet 428 (00:E0:4C:04:A7:53 -> FF:FF:FF:FF:FF:FF)
是不是有ARP病毒？


问题多多呀！

先谢谢上面两位的帮助，内网192.168.0.4的电脑是有点奇怪。会不会是刚好有人在接收数据，我先看看。00:E0:4C:04:A7:53 -> FF:FF:FF:FF:FF:FF 中的00:E0:4C:04:A7:53 是收费服务器的网卡地址，FF:FF:FF:FF:FF:FF不知道跟我在客户机上做的网卡绑定有没有关系。批处理如下：@echo OFF
arp -d
if %~n0==arp exit
if %~n0==Arp exit
if %~n0==ARP exit
FOR /f "skip=17 tokens=13 usebackq " %%i in (`ipconfig /all`) do Set GateIP=%%i && GOTO GateMac
:GateMac
echo GateIP:%GateIP%
ping %GateIP% -t -n 1
FOR /f "skip=3 tokens=2 usebackq " %%i in (`arp -a %GateIP%`) do Set GateMAC=%%i && GOTO Start
:Start
echo GateMAC:%GateMAC%
echo [arp] >> c:\windows\config.ini
echo %GateIP% = "%GateMAC%" >> c:\windows\config.ini
echo //第一行的绑定必须是你正确的网关地址 >> c:\windows\config.ini
echo 192.168.0.222 = "aa-aa-aa-aa-aa-aa" >> c:\windows\config.ini
echo //这个可以是其他服务器，比如收费机或者更新服务器等关键服务器 >> c:\windows\config.ini
echo 10.40.80.200 = "ff-ff-ff-ff-ff-ff" >> c:\windows\config.ini
call c:\windows\_arp_.exe
del /f /s /q C:\WINDOWS\system32\npptools.dll
del /q c:\windows\config.ini

其中的echo 192.168.0.222 = "aa-aa-aa-aa-aa-aa" 没有相应的主机，放在上面没有删除。
10.40.80.200 = "ff-ff-ff-ff-ff-ff" 是提供给被ARP攻击时的虚假地址
我测试了电信网关，外地DNS服务器，本地外网服务器，电信网关PING值较大，但电信回答说是正常的。我发现只要DNS和本地服务器同时掉包就会造成电信断网，而这时电信网关测试不一定中断。一般同时掉包2至5个，也就是断网5秒钟左右，然后会自动重新连接上，使用20-30分钟左右又会出现掉线。这个过程大概要持续4个小时左右，以后可以正常使用一段时间。我测试路由网关一直正常，网通线路测试也正常。