巧妙管理交換機(jī)揪出害群之馬ARP病毒

筆者是某單位大樓的一名網(wǎng)絡(luò)管理員， 平時(shí)主要任務(wù)就是維護(hù)大樓局域網(wǎng)網(wǎng)絡(luò)的安全、穩(wěn)定運(yùn)行。 最近一段時(shí)間， 隔三差五的， 大樓局域網(wǎng)網(wǎng)絡(luò)總會(huì)發(fā)生一些故障：有的時(shí)候某個(gè)工作子網(wǎng)能夠正常訪問(wèn)Internet網(wǎng)絡(luò)， 但另外某個(gè)工作子網(wǎng)卻不能正常上網(wǎng)訪問(wèn)；在同一個(gè)工作子網(wǎng)中， 有的工作站能夠正常上網(wǎng)， 有的工作站卻不能訪問(wèn)Internet網(wǎng)絡(luò)；甚至有的時(shí)候， 單位大樓中的所有工作子網(wǎng)都不能訪問(wèn)外部網(wǎng)絡(luò)。 除了單位同事的抱怨， 還經(jīng)常被單位領(lǐng)導(dǎo)“請(qǐng)”去教訓(xùn)一下， 弄得筆者焦頭爛額的。

　　故障接二連三發(fā)生

　　以前單位大樓網(wǎng)絡(luò)偶爾也發(fā)生過(guò)有的工作站能上網(wǎng)、有的工作站不能上網(wǎng)的故障現(xiàn)象， 遇到這種故障現(xiàn)象時(shí)， 筆者曾經(jīng)使用專(zhuān)業(yè)的數(shù)據(jù)抓包工具進(jìn)行抓包分析， 不過(guò)仔細(xì)分析之后， 并沒(méi)有從中找到具體的故障發(fā)生根源， 每次只是簡(jiǎn)單地重新啟動(dòng)一下大樓局域網(wǎng)的交換機(jī)設(shè)備以及防火墻設(shè)備， 所有工作站的網(wǎng)絡(luò)訪問(wèn)狀態(tài)就都能恢復(fù)正常了。 不過(guò)如此頻繁地通過(guò)重新啟動(dòng)交換機(jī)和防火墻， 來(lái)解決網(wǎng)絡(luò)故障現(xiàn)象， 也不是一個(gè)有效的辦法啊， 畢竟經(jīng)常頻繁地重新啟動(dòng)類(lèi)似交換機(jī)這樣的重要網(wǎng)絡(luò)設(shè)備， 不但會(huì)降低大樓局域網(wǎng)網(wǎng)絡(luò)的運(yùn)行穩(wěn)定性， 而且時(shí)間一長(zhǎng)交換機(jī)之類(lèi)的網(wǎng)絡(luò)設(shè)備使用壽命也會(huì)縮短。 更為嚴(yán)重的情況是， 即使有的時(shí)候重新啟動(dòng)了交換機(jī)之類(lèi)的網(wǎng)絡(luò)設(shè)備， 沒(méi)有幾分鐘的時(shí)間， 網(wǎng)絡(luò)故障又會(huì)再次發(fā)生了；很明顯， 如果不從源頭上找到網(wǎng)絡(luò)故障根源的話， 那么網(wǎng)絡(luò)故障現(xiàn)象將會(huì)接二連三地發(fā)生， 那么單位大樓網(wǎng)絡(luò)的運(yùn)行效率就會(huì)大大下降。

　　初步排查故障現(xiàn)象

　　單位大樓局域網(wǎng)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)主要是一臺(tái)通過(guò)寬帶光纖與本地ISP直接相連的硬件防火墻， 以及與硬件防火墻保持連接的核心路由交換機(jī)， 其中核心路由交換機(jī)中劃分了70個(gè)VLAN。 為了尋找網(wǎng)絡(luò)故障根源， 筆者先是在局域網(wǎng)的任意一臺(tái)普通工作站中依次單擊“開(kāi)始”/“運(yùn)行”命令， 在彈出的系統(tǒng)運(yùn)行對(duì)話框中輸入“cmd”命令， 單擊回車(chē)鍵后， 將系統(tǒng)工作狀態(tài)切換到DOS命令行狀態(tài)， 在該狀態(tài)的命令行提示符下輸入字符串命令“ping 10.176.1.2”（其中10.176.1.2是本地局域網(wǎng)網(wǎng)絡(luò)的網(wǎng)關(guān)地址）， 單擊回車(chē)鍵后， 屏幕上返回了本地局域網(wǎng)網(wǎng)絡(luò)的網(wǎng)關(guān)地址能夠被正常Ping通的測(cè)試結(jié)果（如圖1所示）；接著， 筆者又在命令行提示符下輸入字符串命令“ping 10.176.1.3”（其中10.176.1.3是本地局域網(wǎng)網(wǎng)絡(luò)的防火墻地址）， 單擊回車(chē)鍵后， 屏幕上同樣返回了本地局域網(wǎng)網(wǎng)絡(luò)的防火墻地址能夠被正常Ping通的測(cè)試結(jié)果。 通過(guò)上面的測(cè)試， 筆者認(rèn)為大樓內(nèi)網(wǎng)到網(wǎng)絡(luò)出口之間的網(wǎng)絡(luò)連接一切都很正常。

　　為了檢驗(yàn)防火墻到本地ISP之間的寬帶連接線路是否處于通暢狀態(tài)， 筆者通過(guò)telnet命令遠(yuǎn)程登錄到防火墻設(shè)備中， 并在該設(shè)備的遠(yuǎn)程登錄狀態(tài)下Ping了一下本地ISP的網(wǎng)關(guān)地址， 測(cè)試結(jié)果發(fā)現(xiàn)本地ISP的網(wǎng)關(guān)地址也能被正常Ping通， 這說(shuō)明單位大樓網(wǎng)絡(luò)能夠正常訪問(wèn)到本地ISP。 對(duì)于上面的測(cè)試結(jié)果筆者百思不得其解， 本地局域網(wǎng)的網(wǎng)關(guān)地址能夠被正常Ping通， 本地網(wǎng)絡(luò)到本地ISP之間的網(wǎng)絡(luò)連接也是通暢的， 但偏偏局域網(wǎng)中的某些工作站就不能上網(wǎng)訪問(wèn)， 難道問(wèn)題出在局域網(wǎng)工作站身上？但轉(zhuǎn)念一想， 還是不太可能， 如果網(wǎng)絡(luò)不出問(wèn)題的話， 最多只有一臺(tái)或幾臺(tái)工作站不能上網(wǎng)， 但現(xiàn)在有的時(shí)候會(huì)出現(xiàn)某一個(gè)工作子網(wǎng)工作站都不能上網(wǎng)的故障現(xiàn)象， 這說(shuō)明網(wǎng)絡(luò)肯定是有問(wèn)題的！經(jīng)過(guò)仔細(xì)分析故障現(xiàn)象， 以及對(duì)比測(cè)試結(jié)果， 筆者初步認(rèn)為這種故障現(xiàn)象很可能是由網(wǎng)絡(luò)中的ARP病毒造成的；因?yàn)橐坏┚钟蚓W(wǎng)網(wǎng)絡(luò)感染了ARP病毒時(shí)， 局域網(wǎng)工作站在上網(wǎng)訪問(wèn)時(shí)會(huì)將上網(wǎng)請(qǐng)求信息全部轉(zhuǎn)發(fā)到虛假的網(wǎng)關(guān)設(shè)備上， 最終會(huì)造成工作站都不能上網(wǎng)的故障現(xiàn)象