小弟公司是使用Vigorpro V5510，韌體版本為3.3.2，我們的LAN不使用DHCP，每台電腦皆設定固定IP(Bind IP To MAC)，最近發現一種奇怪的情形，有兩三台電腦，其IP皆已設定在 IP Bind List裡面，有時會突然連不上網路(非同時發生)，症狀為Ping不到Router的IP(192.168.1.1)，可是Ping的到其他電腦的IP(例如192.168.1.10)

我們到Router裡面的Diagnostics-->ARP Cache Table裡面，會發現沒有這些電腦的ARP Cache Table的資料，可是如果按下畫面上的Clear再按Refresh之後，就會發現這些電腦又會在ARP Cache Table裡面了，這時這些電腦的網路就恢復正常了，可是有時一天會發生兩三次，每次都要用這種方式處理，請問一下各位大大可能的原因是什麼? 謝謝

註:我們網域的電腦大約有80幾台

贊助商連結

如果只有特定的兩三台電腦,小弟猜測有可能是ARP病毒或是ARP掛馬,先用強一點的防毒檢查看看比較保險.

出問題時可以看一下，出問題電腦的arp table
在command line下輸入arp -a就可以看到了^^
先ping router ip然後在arp -a 就可以知到了!!!!

我們這邊用的防毒軟體是nod32跟officescan兩種，更新病毒碼之後，在出問題的電腦上面找不到病毒，因為officescan是集中管理式的防毒軟體，其下的電腦我都強制掃描過一次。
然後我有用arp -a去查看出問題的電腦其router的ip跟mac address也是正確的，即使把出問題的電腦其arp table的router ip跟mac address改成static也無法連上網路，然後我用一個軟體ArpCacheWatch的軟體去察看網路上，是否有假冒router的ip跟mac address，也找不到，現在不知道問題出在哪了

我將LAN-->Bind IP to Mac裡面的Strict Bind選項取消，到目前為止這些會突然被清掉ARP Table的電腦都可以上網沒發生問題，可是我發現在Bind IP to Man這個畫面的左方欄位，有問題的電腦會出現兩組ARP的IP跟MAC資料，其中一個是正確的Mac Address，另外一個則不是屬於我們電腦的Mac Address(我們有另外登記在文件上面)，如下面兩張圖，這算是病毒造成的嗎?
http://www.flickr.com/photos/jimmyflickr2009/3587812591/
http://www.flickr.com/photos/jimmyflickr2009/3587812597/

我用一個軟體叫Xarp的去偵測，其顯示Arp Attack是從router發出的，如下圖:
http://www.flickr.com/photos/jimmyflickr2009/3588151077/

如果您是在已經中獎的電腦上測試,有可能得到ROUTER是中毒者的訊息,因為ARP病毒發出訊息告訴ROUTER和其他人自己是GATEWAY的IP後,ROUTER會馬上再對大家發出我才是GATEWAY的ARP封包,軟體就有可能以為ROUTER是攻擊的兇手.

如果實際原因是這樣,正確的解決之道除了解決目前的病毒外,公司應該要稍為思考一下是否要依部門切割VLAN了.

然後我有用arp -a去查看出問題的電腦其router的ip跟mac address也是正確的，即使把出問題的電腦其arp table的router ip跟mac address改成static也無法連上網路，然後我用一個軟體ArpCacheWatch的軟體去察看網路上，是否有假冒router的ip跟mac address，也找不到，現在不知道問題出在哪了


我將LAN-->Bind IP to Mac裡面的Strict Bind選項取消，到目前為止這些會突然被清掉ARP Table的電腦都可以上網沒發生問題

那可以關查一下router內的arp table是不是有些異常ex重複的
IP MAC榜定，是一個強制的關係，錯其中一個都不可行
至於實際上遇到IP MAC不同會發生什麼情況(可確定鐵定不能上網)
可以打電話去原場問一下，因該很快就知到解答^^

我用Wireshark去觀察ARP封包，初步排除是ARP病毒的影響，把Router韌體重新reset，再設定回去還是會發生一樣的情況，剛已經寄信給Draytek詢問了，待回覆