筆者兼任一所學校的網絡管理員，最近該校一棟教學樓內的網絡突然出現時斷時好的現象，嚴重影響了正常的教學工作，情況危急，需要馬上解決!

作筆者立即著手進行調查，據老師們反映：聯網時，有時候網頁打開速度非常緩慢，有時絲毫沒有動靜，顯示無法打開網頁。不過，在非上班時間，如中午和晚上等休息時間，網絡一切正常。根據這一情況判斷，網絡硬件故障的可能性微乎其微，經過檢查沒有發現異常情況，排除了物理上的錯誤。看來是軟件上的問題，腦海中的第一反應就是目前比較流行的ARP攻擊。

ARP協議的中文名為“地址解析協議”，用于將網絡中的IP地址解析為硬件地址(MAC地址)，以保證通信的順利進行。當計算機接收到ARP應答數據包的時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。所以在網絡中，如果有人發送一個自己偽造的ARP應答，網絡可能就會出現問題，這就是ARP欺騙，其常見的特征就是主機頻繁掉線。

這與我們的網絡癥狀非常相似，但是ARP攻擊需要找到它的源頭，一般的方法很難查找，需要在交換機上進行抓包分析，于是找到了Iris Network Traffic Analyzer(以下簡稱Iris)。這是一款網絡流量分 析監測工具，可以幫助系統管理員輕易地捕獲和查看用戶的使用情況，同時檢測進入和發出的信息流，自動進行存儲和統計。這款軟件的圖標很像一只眼睛，看來 “火眼金睛”是找到了，現在就花工夫怎么用好它了!

由于該教學樓的交換機是一臺非網管型交換機，只好拿著筆記本電腦在網絡設備房“蹲點”。把筆記本電腦連接在交換機端口上，打開Iris，界面顯示(如圖1)。

依舊是我們熟悉的典型Windows軟件風格，單擊開始捕獲按鈕，Iris開始工作，對數據包實施抓捕。Iris對數據包抓捕的同時可以對其進行分析， 點擊某一時刻的數據包在快速分析窗口中查看解析內容。在Statistics(統計表)窗口中，我們可以瀏覽實時數據統計圖，對Protocol (網絡協議)、Top Hosts(最高流量主機)、Size Distribution(數據包大小分類)和Bandwidth(帶寬)進行直接查看。

不一會，“兇手”出現了!Iris捕獲窗口出現了大量的ARP數據包，Protocol(網絡協議)圖表顯示出來的ARP數據包在不斷增長(如圖2)!整個網絡的流量一下加大了好幾倍!

為了分析方便，用Iris的Filters(過濾)功能，將ARP和Reverse ARP兩種類型的數據過濾出來。終于，找到了ARP欺騙的真兇了，在捕獲窗口中(如圖3)可以看到，所有的ARP數據包源都是來自MAC地址為00:0A:E6:98:84:87的電腦，終于掌握罪證了!也就是說，找到這個 MAC地址的電腦就可以鏟除禍根了!

接下來的工作就簡單了，拿出平時記錄好的“MAC-IP-計算機名”對應表，找到真兇電腦，對其進行斷網、系統重裝、查殺病毒等操作，確認安全后，再連接上網。網絡又恢復了往日的寧靜，學校的正常教學秩序得到了保證。

看來，利用網絡分析軟件解決網絡故障，往往可以起到事半功倍的效果。希望這個案例對管理員朋友解決類似故障有所幫助。

【編輯推薦】

1. 綜合方法解決防制ARP欺騙問題
2. 從網吧ARP欺騙看局域網的安全管理