筆者兼任一所學(xué)校的網(wǎng)絡(luò)管理員， 最近該校一棟教學(xué)樓內(nèi)的網(wǎng)絡(luò)突然出現(xiàn)時(shí)斷時(shí)好的現(xiàn)象， 嚴(yán)重影響了正常的教學(xué)工作， 情況危急， 需要馬上解決!

　　作筆者立即著手進(jìn)行調(diào)查， 據(jù)老師們反映：聯(lián)網(wǎng)時(shí)， 有時(shí)候網(wǎng)頁(yè)打開(kāi)速度非常緩慢， 有時(shí)絲毫沒(méi)有動(dòng)靜， 顯示無(wú)法打開(kāi)網(wǎng)頁(yè)。 不過(guò)， 在非上班時(shí)間， 如中午和晚上等休息時(shí)間， 網(wǎng)絡(luò)一切正常。 根據(jù)這一情況判斷， 網(wǎng)絡(luò)硬件故障的可能性微乎其微， 經(jīng)過(guò)檢查沒(méi)有發(fā)現(xiàn)異常情況， 排除了物理上的錯(cuò)誤。 看來(lái)是軟件上的問(wèn)題， 腦海中的第一反應(yīng)就是目前比較流行的ARP攻擊。

　　ARP協(xié)議的中文名為“地址解析協(xié)議”， 用于將網(wǎng)絡(luò)中的IP地址解析為硬件地址(MAC地址)， 以保證通信的順利進(jìn)行。 當(dāng)計(jì)算機(jī)接收到ARP應(yīng)答數(shù)據(jù)包的時(shí)候， 就會(huì)對(duì)本地的ARP緩存進(jìn)行更新， 將應(yīng)答中的IP和MAC地址存儲(chǔ)在ARP緩存中。 所以在網(wǎng)絡(luò)中， 如果有人發(fā)送一個(gè)自己偽造的ARP應(yīng)答， 網(wǎng)絡(luò)可能就會(huì)出現(xiàn)問(wèn)題， 這就是ARP欺騙， 其常見(jiàn)的特征就是主機(jī)頻繁掉線。

　　這與我們的網(wǎng)絡(luò)癥狀非常相似， 但是ARP攻擊需要找到它的源頭， 一般的方法很難查找， 需要在交換機(jī)上進(jìn)行抓包分析， 于是找到了Iris Network Traffic Analyzer(以下簡(jiǎn)稱Iris)。 這是一款網(wǎng)絡(luò)流量分 析監(jiān)測(cè)工具， 可以幫助系統(tǒng)管理員輕易地捕獲和查看用戶的使用情況， 同時(shí)檢測(cè)進(jìn)入和發(fā)出的信息流， 自動(dòng)進(jìn)行存儲(chǔ)和統(tǒng)計(jì)。 這款軟件的圖標(biāo)很像一只眼睛， 看來(lái) “火眼金睛”是找到了， 現(xiàn)在就花工夫怎么用好它了!

　　由于該教學(xué)樓的交換機(jī)是一臺(tái)非網(wǎng)管型交換機(jī)， 只好拿著筆記本電腦在網(wǎng)絡(luò)設(shè)備房“蹲點(diǎn)”。 把筆記本電腦連接在交換機(jī)端口上， 打開(kāi)Iris， 界面顯示(如圖1)。

　依舊是我們熟悉的典型Windows軟件風(fēng)格， 單擊開(kāi)始捕獲按鈕， Iris開(kāi)始工作， 對(duì)數(shù)據(jù)包實(shí)施抓捕。 Iris對(duì)數(shù)據(jù)包抓捕的同時(shí)可以對(duì)其進(jìn)行分析， 點(diǎn)擊某一時(shí)刻的數(shù)據(jù)包在快速分析窗口中查看解析內(nèi)容。 在Statistics(統(tǒng)計(jì)表)窗口中， 我們可以瀏覽實(shí)時(shí)數(shù)據(jù)統(tǒng)計(jì)圖， 對(duì)Protocol (網(wǎng)絡(luò)協(xié)議)、Top Hosts(最高流量主機(jī))、Size Distribution(數(shù)據(jù)包大小分類)和Bandwidth(帶寬)進(jìn)行直接查看。

  不一會(huì)， “兇手”出現(xiàn)了!Iris捕獲窗口出現(xiàn)了大量的ARP數(shù)據(jù)包， Protocol(網(wǎng)絡(luò)協(xié)議)圖表顯示出來(lái)的ARP數(shù)據(jù)包在不斷增長(zhǎng)(如圖2)!整個(gè)網(wǎng)絡(luò)的流量一下加大了好幾倍!

    為了分析方便， 用Iris的Filters(過(guò)濾)功能， 將ARP和Reverse ARP兩種類型的數(shù)據(jù)過(guò)濾出來(lái)。 終于， 找到了ARP欺騙的真兇了， 在捕獲窗口中(如圖3)可以看到， 所有的ARP數(shù)據(jù)包源都是來(lái)自MAC地址為00:0A:E6:98:84:87的電腦， 終于掌握罪證了!也就是說(shuō)， 找到這個(gè) MAC地址的電腦就可以鏟除禍根了!

    接下來(lái)的工作就簡(jiǎn)單了， 拿出平時(shí)記錄好的“MAC-IP-計(jì)算機(jī)名”對(duì)應(yīng)表， 找到真兇電腦， 對(duì)其進(jìn)行斷網(wǎng)、系統(tǒng)重裝、查殺病毒等操作， 確認(rèn)安全后， 再連接上網(wǎng)。 網(wǎng)絡(luò)又恢復(fù)了往日的寧?kù)o， 學(xué)校的正常教學(xué)秩序得到了保證。

　　看來(lái)， 利用網(wǎng)絡(luò)分析軟件解決網(wǎng)絡(luò)故障， 往往可以起到事半功倍的效果。 希望這個(gè)案例對(duì)管理員朋友解決類似故障有所幫助。