一上班，就有报告说Email没办法用的，过去一看，是台通过Wi-Fi上网的笔记本，现象是打开Web登录界面速度奇慢无比，因为手头还有别的事情，所以直接打开OE添加了个帐号，说先这样用吧，我那边去找找原因。

接下来就开始有三三两两的说网络不正常的，包括Web浏览、股票行情、视频直播，都出现问题，这下麻烦大了。在自己机器上开ping，外部网站、DNS，都不正常，从30ms到丢包，不规律重复出现。

查看已经打开的页面源文件，第一行有一个iframe，访问一个直接数字ip开头的vip.htm页面，但是那个页面打不开，这个应该就是所有网站打开缓慢的原因之一。

打电话给ISP，让他们反向ping回来，过了几分钟，反馈说一切正常，维持在1-2ms之间，ISP嫌疑排除，继续。

询问ISP是否做广告推送，确认没有。

带笔记本到机房，直接接到ForitGate上，一切正常，故障定位在下层交换机。

怀疑arp欺骗(已经碰到过n次了)，笔记本看一下网关，到别的地方看一下，果然不同，确定故障。

到FortiGate的dhcp log里面查找那个问题mac，居然没有，想不通。

先群发bqq消息，通知有问题的人下载antiARP安装，继续查。

找一台有问题的机器，做全c段ip scan，然后arp –a，看到那个问题机器的mac对应的ip。

\问题ipd$，出现登录窗口，看到问题机器名，找到。

将问题机器断网，杀毒，杀木马，搞定。

整个流程是这样：问题机器中木马，开始arp欺骗，其他机器收到arp广播，认为问题机器是网关，于是走这条路，问题机器将http请求开头加上那个iframe，目的是为了流量或者广告或者再传播。

总结一下

现在基础网络，稳定性还是可以的，出现大面积问题，首先怀疑arp欺骗。有条件的，做双向ip-mac绑定，可以解决大部分此类问题。无条件的，建立机器-mac对应表，出现问题之后可以非常迅速的找到问题机器。尽量在每台机器上装杀毒软件和杀木马软件，可以减少不少麻烦。