【巧用流量监控 定位ARP欺骗】 最近该校一栋教学楼内的网络突然出现时断时好的现象,严重影响了正常的教学工作,情况危急,需要马上解决!
作笔者立即着手进行调查,据老师们反映:联网时,有时候网页打开速度非常缓慢,有时丝毫没有动静,显示无法打开网页 。不过,在非上班时间,如中午和晚上等休息时间,网络一切正常 。根据这一情况判断,网络硬件故障的可能性微乎其微,经过检查没有发现异常情况,排除了物理上的错误 。看来是软件上的问题,脑海中的第一反应就是目前比较流行的ARP攻击 。
ARP协议的中文名为“地址解析协议”,用于将网络中的IP地址解析为硬件地址(MAC地址),以保证通信的顺利进行 。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中 。所以在网络中,如果有人发送一个自己伪造的ARP应答,网络可能就会出现问题,这就是ARP欺骗,其常见的特征就是主机频繁掉线 。
这与我们的网络症状非常相似,但是ARP攻击需要找到它的源头,一般的方法很难查找,需要在交换机上进行抓包分析,于是找到了Iris Network Traffic Analyzer(以下简称Iris) 。这是一款网络流量分 析监测工具,可以帮助系统管理员轻易地捕获和查看用户的使用情况,同时检测进入和发出的信息流,自动进行存储和统计 。这款软件的图标很像一只眼睛,看来 “火眼金睛”是找到了,现在就花工夫怎么用好它了!
由于该教学楼的交换机是一台非网管型交换机,只好拿着笔记本电脑在网络设备房“蹲点” 。把笔记本电脑连接在交换机端口上,打开Iris,界面显示(如图1) 。
依旧是我们熟悉的典型Windows软件风格,单击开始捕获按钮,Iris开始工作,对数据包实施抓捕 。Iris对数据包抓捕的同时可以对其进行分析, 点击某一时刻的数据包在快速分析窗口中查看解析内容 。在Statistics(统计表)窗口中,我们可以浏览实时数据统计图,对Protocol (网络协议)、Top Hosts(最高流量主机)、Size Distribution(数据包大小分类)和Bandwidth(带宽)进行直接查看 。
不一会,“凶手”出现了!Iris捕获窗口出现了大量的ARP数据包,Protocol(网络协议)图表显示出来的ARP数据包在不断增长(如图2)!整个网络的流量一下加大了好几倍!
为了分析方便,用Iris的Filters(过滤)功能,将ARP和Reverse ARP两种类型的数据过滤出来 。终于,找到了ARP欺骗的真凶了,在捕获窗口中(如图3)可以看到,所有的ARP数据包源都是来自MAC地址为00:0A:E6:98:84:87的电脑,终于掌握罪证了!也就是说,找到这个 MAC地址的电脑就可以铲除祸根了!
接下来的工作就简单了,拿出平时记录好的“MAC-IP-计算机名”对应表,找到真凶电脑,对其进行断网、系统重装、查杀病毒等操作,确认安全后,再连接上网 。网络又恢复了往日的宁静,学校的正常教学秩序得到了保证 。
看来,利用网络分析软件解决网络故障,往往可以起到事半功倍的效果 。希望这个案例对管理员朋友解决类似故障有所帮助 。
推荐阅读
- 荣耀怎么看用了多少流量
- 公众号阅读量5000左右收入多少 微信公众号流量主收益怎么计算
- 小度有监控功能吗? 小度有监控功能吗
- 爱流量app中赚取流量具体操作方法
- 抖音如何免流量播放
- 淘宝新开店铺怎么增加流量
- 家里有蟑螂如何消灭
- 电脑如何开热点给手机使用流量 电脑如何开热点给手机使用
- 应用宝怎么绑定大王卡 应用宝怎么绑定大王卡流量
- 看一场足球赛多少流量高清