RSS

巧妙管理交换机 揪出害群之马ARP病毒

  为了检验防火墙到本地ISP之间的宽带连接线路是否处于通畅状态,笔者通过telnet命令远程登录到防火墙设备中,并在该设备的远程登录状态下Ping了一下本地ISP的网关地址,测试结果发现本地ISP的网关地址也能被正常Ping通,这说明单位大楼网络能够正常访问到本地ISP。对于上面的测试结果笔者百思不得其解,本地局域网的网关地址能够被正常Ping通,本地网络到本地ISP之间的网络连接也是通畅的,但偏偏局域网中的某些工作站就不能上网访问,难道问题出在局域网工作站身上?但转念一想,还是不太可能,如果网络不出问题的话,最多只有一台或几台工作站不能上网,但现在有的时候会出现某一个工作子网工作站都不能上网的故障现象,这说明网络肯定是有问题的!经过仔细分析故障现象,以及对比测试结果,笔者初步认为这种故障现象很可能是由网络中的ARP病毒造成的;因为一旦局域网网络感染了ARP病毒时,局域网工作站在上网访问时会将上网请求信息全部转发到虚假的网关设备上,最终会造成工作站都不能上网的故障现象。

  深入解决故障现象

  为了确认ARP病毒是不是最终的故障根源,笔者在局域网的一台普通工作站中打开MS-DOS窗口,在该窗口的命令行提示符下输入“arp-a”字符串命令,单击回车键后,笔者发现本地网关设备的物理地址变成了000d-87f8-36d3,这个地址与核心路由交换机上设置的网关真实物理地址完全不同,这说明局域网网络中果然存在ARP病毒。

  那么局域网中究竟是哪一台工作站感染了ARP病毒呢?由于单位大楼局域网网络包含10个VLAN,每一个VLAN下面连接的计算机数量也是不断处于动态变化之中,因此单纯依靠传统方法很难快速找到感染了ARP病毒的目标工作站系统。想到在组建大楼局域网网络时,工作人员曾经创建了VLAN数据对照表,从该对照表中网络管理员能够快速查询到每一个VLAN中包含了哪些网络连接端口,每一个网络连接端口位于单位的哪一个房间。为此,笔者打算先找出究竟是哪些VLAN中存在ARP病毒,之后根据查找出来的虚假网关物理地址信息,寻找到感染了ARP病毒的工作站来自特定工作站的哪个端口,最后再查找对照表找到故障工作站所在的房间号码,最后电话联系房间主人隔离杀毒。

[时间:2010-08-14]
相关文章