【51CTO.com獨(dú)家特稿】為了提高網(wǎng)絡(luò)管理效率，現(xiàn)在規(guī)模稍微大一點(diǎn)的局域網(wǎng)網(wǎng)絡(luò)，都會(huì)選用三層交換技術(shù)的路由交換機(jī)進(jìn)行組網(wǎng)，這樣不但可以提高網(wǎng)絡(luò)數(shù)據(jù)包轉(zhuǎn)發(fā)效率，而且我們也可以充分利用它的強(qiáng)大管理功能提高網(wǎng)絡(luò)管理效率。這不，局域網(wǎng)網(wǎng)絡(luò)很容易遭遇ARP病毒的攻擊，一旦遇到這種類(lèi)型的病毒攻擊時(shí)，我們?cè)撊绾慰焖俚亍熬尽背鯝RP病毒呢？相信要解決這樣的問(wèn)題，多數(shù)網(wǎng)絡(luò)管理員都會(huì)求救于專(zhuān)業(yè)的網(wǎng)絡(luò)管理工具。其實(shí)，我們沒(méi)有必要舍近求遠(yuǎn)，完全可以利用三層交換機(jī)的強(qiáng)大管理功能，來(lái)采用手工方法快速“揪”出ARP病毒；下面，本文就以常見(jiàn)的H3C品牌的S8500系列路由交換機(jī)為操作藍(lán)本，向各位朋友還原手工“揪”出ARP病毒的詳細(xì)過(guò)程。

網(wǎng)絡(luò)運(yùn)行狀況

某大樓包含50多個(gè)單位，這些單位分布在大樓的18層樓中，每個(gè)樓層少則分布一個(gè)單位，多則同時(shí)分布三四個(gè)單位，所有單位都有自己獨(dú)立的虛擬工作子網(wǎng)，它們只能通過(guò)大樓局域網(wǎng)中H3C品牌的S8500核心路由交換機(jī)訪(fǎng)問(wèn)Internet網(wǎng)絡(luò)，各個(gè)虛擬工作子網(wǎng)之間并不能互相訪(fǎng)問(wèn)，這樣能夠有效地抑制網(wǎng)絡(luò)風(fēng)暴以及病毒的大面積傳播，從而有利于保持大樓網(wǎng)絡(luò)的運(yùn)行穩(wěn)定性。整個(gè)大樓的組網(wǎng)結(jié)構(gòu)也是很清晰明了，所有單位的計(jì)算機(jī)都通過(guò)100M網(wǎng)絡(luò)雙絞線(xiàn)纜連接到對(duì)應(yīng)樓層的二層交換機(jī)中，所有二層交換機(jī)又通過(guò)1000M光纖線(xiàn)纜與大樓局域網(wǎng)中的核心交換機(jī)保持連接。

平時(shí)，大樓網(wǎng)絡(luò)管理員可以定期利用核心交換機(jī)系統(tǒng)自帶的掃描、診斷功能，對(duì)各個(gè)光纖交換端口的流量狀態(tài)進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)端口輸入數(shù)據(jù)包流量、輸出數(shù)據(jù)包流量同時(shí)超過(guò)1000M/S時(shí)，網(wǎng)絡(luò)管理員都會(huì)認(rèn)為連接到該光纖端口下的虛擬工作子網(wǎng)可能工作不正常，為了防止這種不正?，F(xiàn)象危害到整個(gè)大樓網(wǎng)絡(luò)的運(yùn)行狀態(tài)，網(wǎng)絡(luò)管理員會(huì)及時(shí)利用交換機(jī)系統(tǒng)提供的“shutdown”命令，暫時(shí)關(guān)閉流量異常的光纖交換端口，之后根據(jù)組網(wǎng)時(shí)建立的檔案資料，找到流量異常的二層交換機(jī)，再按照同樣的方法掃描各個(gè)普通的以太交換端口，最終就能找到引發(fā)流量異常的故障因素了。

疑似病毒攻擊

可是，最近遇到的網(wǎng)絡(luò)故障，讓大樓網(wǎng)絡(luò)管理員感到十分的郁悶，因?yàn)榘凑障嗤霓k法進(jìn)行網(wǎng)絡(luò)故障排查，就是無(wú)法找到具體的故障原因。原來(lái)，昨天早上剛剛上班的時(shí)候，來(lái)自六樓的某個(gè)上網(wǎng)用戶(hù)打電話(huà)報(bào)修網(wǎng)絡(luò)故障，網(wǎng)絡(luò)管理員詢(xún)問(wèn)他什么時(shí)候發(fā)現(xiàn)不能上網(wǎng)的，他回答說(shuō)剛剛出現(xiàn)這種故障現(xiàn)象；對(duì)于這樣的故障報(bào)修情況，網(wǎng)絡(luò)管理員已經(jīng)習(xí)以為常了，很多時(shí)候都是客戶(hù)端系統(tǒng)自身引起的，例如網(wǎng)絡(luò)線(xiàn)纜接觸不牢啊，上網(wǎng)IP地址被突然搶用啊，或者是客戶(hù)端操作系統(tǒng)出現(xiàn)意外啊，也有可能是網(wǎng)絡(luò)病毒發(fā)作的緣故！然而，當(dāng)網(wǎng)絡(luò)管理員正要將這些可能的因素告訴上網(wǎng)用戶(hù)，進(jìn)行逐一排查時(shí)，又有幾個(gè)故障報(bào)修電話(huà)連續(xù)打過(guò)來(lái)，他們都說(shuō)自己的計(jì)算機(jī)突然不能上網(wǎng)了，而且咨詢(xún)了四樓的其他上網(wǎng)用戶(hù)，這些用戶(hù)的計(jì)算機(jī)都出現(xiàn)了相同的故障現(xiàn)象。

這些接二連三的故障報(bào)修電話(huà)，讓網(wǎng)絡(luò)管理員下意識(shí)地認(rèn)為，整個(gè)四樓出現(xiàn)的網(wǎng)絡(luò)無(wú)法訪(fǎng)問(wèn)故障，肯定與客戶(hù)端系統(tǒng)自身無(wú)關(guān)，按照常規(guī)思路分析，很可能是位于四樓的二層交換機(jī)工作狀態(tài)發(fā)生了意外。于是，網(wǎng)絡(luò)管理員立即登錄進(jìn)入大樓局域網(wǎng)的核心交換機(jī)后臺(tái)管理系統(tǒng)，在該系統(tǒng)的全局配置狀態(tài)下，執(zhí)行“dis dia”字符串命令，來(lái)檢查各個(gè)光纖交換端口的工作狀態(tài)是否異常；可是，經(jīng)過(guò)一段時(shí)間的掃描、診斷之后，網(wǎng)絡(luò)管理員并沒(méi)有發(fā)現(xiàn)哪個(gè)交換端口的工作狀態(tài)不正常，也就是與各個(gè)單位樓層交換機(jī)相連的光纖交換端口都處于“up”狀態(tài)（如圖1所示），那為什么四樓所有的用戶(hù)不能正常上網(wǎng)呢？

圖1

雖然四樓交換機(jī)的級(jí)聯(lián)端口工作狀態(tài)正常，但是劃分在該交換機(jī)中的所有虛擬工作子網(wǎng)都不能正常訪(fǎng)問(wèn)外網(wǎng)，這說(shuō)明了什么呢？網(wǎng)絡(luò)管理員思來(lái)想去，認(rèn)為可能是交換機(jī)的虛擬內(nèi)存發(fā)生了錯(cuò)誤，造成了交換機(jī)返回虛假的狀態(tài)信息，況且交換機(jī)持續(xù)工作的時(shí)間長(zhǎng)了，就十分容易出現(xiàn)虛擬緩存溢出的錯(cuò)誤；對(duì)于交換機(jī)虛擬緩存溢出的故障現(xiàn)象，我們往往只要重新啟動(dòng)一下交換機(jī)系統(tǒng)，就能讓虛擬緩存工作狀態(tài)恢復(fù)正常了；可是，當(dāng)網(wǎng)絡(luò)管理員來(lái)到四樓交換機(jī)現(xiàn)場(chǎng)，將其電源斷開(kāi)，過(guò)一會(huì)兒再次接通電源，進(jìn)行重新啟動(dòng)交換系統(tǒng)時(shí)，發(fā)現(xiàn)四樓的所有用戶(hù)還是不能正常上網(wǎng)，顯然這種現(xiàn)象與交換機(jī)的虛擬緩存是沒(méi)有任何關(guān)系的。會(huì)不會(huì)是四樓交換機(jī)每個(gè)交換端口都同時(shí)出現(xiàn)了問(wèn)題呢？雖然理論上有這種可能，但是網(wǎng)絡(luò)管理員通過(guò)隨機(jī)配帶的控制線(xiàn)纜登錄進(jìn)入目標(biāo)交換機(jī)后臺(tái)系統(tǒng)，在該系統(tǒng)的全局配置狀態(tài)下，使用“dis inter e0/x”命令依次查看每個(gè)交換端口的工作狀態(tài)時(shí)，發(fā)現(xiàn)它們的工作狀態(tài)都很正常，既沒(méi)有看到交換端口流量有什么異常，也沒(méi)有看到端口處于“down”狀態(tài)，很明顯四樓所有用戶(hù)不能上網(wǎng)現(xiàn)象與交換機(jī)沒(méi)有任何關(guān)系。

在排除了上面一些因素后，網(wǎng)絡(luò)管理員對(duì)故障現(xiàn)象進(jìn)行了重新分析，認(rèn)為還有一種可能會(huì)造成某個(gè)樓層不能集體上網(wǎng)，那就是四樓的某個(gè)虛擬工作子網(wǎng)可能感染了網(wǎng)絡(luò)病毒，特別有可能是感染了ARP病毒，因?yàn)锳RP病毒一旦發(fā)作，那么對(duì)應(yīng)虛擬工作子網(wǎng)中的所有用戶(hù)原來(lái)直接通過(guò)局域網(wǎng)網(wǎng)關(guān)上網(wǎng)，現(xiàn)在全部轉(zhuǎn)由通過(guò)感染了ARP病毒的主機(jī)上網(wǎng)，這樣一來(lái)自然就容易出現(xiàn)大面積不能上網(wǎng)的故障現(xiàn)象。

手工緝拿病毒

由于上面的故障現(xiàn)象與ARP病毒發(fā)作時(shí)的現(xiàn)象十分相似，網(wǎng)絡(luò)管理員估計(jì)很可能是四樓交換機(jī)下面的某臺(tái)計(jì)算機(jī)感染了ARP病毒，造成了與病毒計(jì)算機(jī)處于同一個(gè)虛擬工作子網(wǎng)的所有用戶(hù)都不能同時(shí)上網(wǎng)了，但是四樓交換機(jī)下面連接了很多計(jì)算機(jī)，那究竟是哪一臺(tái)計(jì)算機(jī)感染了網(wǎng)絡(luò)病毒呢？如果按照常規(guī)方法，對(duì)四樓所有計(jì)算機(jī)都進(jìn)行病毒查殺操作的話(huà)，那工作量無(wú)疑是十分巨大的，而且真的按照這種方法進(jìn)行操作，那故障排除效率實(shí)在也是太低了！

經(jīng)過(guò)查閱S8500系列路由交換機(jī)的操作手冊(cè)，網(wǎng)絡(luò)管理員發(fā)現(xiàn)使用該設(shè)備的“dis dia”功能命令，可以?huà)呙璩鼍烤故悄膫€(gè)虛擬工作子網(wǎng)中的計(jì)算機(jī)IP地址與局域網(wǎng)網(wǎng)關(guān)地址沖突，同時(shí)還能掃描出發(fā)生地址沖突計(jì)算機(jī)的網(wǎng)卡物理地址是什么。根據(jù)這樣的發(fā)現(xiàn)，網(wǎng)絡(luò)管理員認(rèn)為既然S8500系列路由交換機(jī)能夠自動(dòng)掃描識(shí)別出與網(wǎng)關(guān)地址沖突的計(jì)算機(jī)網(wǎng)卡地址，那么當(dāng)局域網(wǎng)中真的存在A(yíng)RP網(wǎng)絡(luò)病毒時(shí)，我們只要對(duì)整個(gè)交換端口掃描一下，就能把感染了ARP病毒的計(jì)算機(jī)網(wǎng)卡物理地址找出來(lái)了，找到了病毒計(jì)算機(jī)的網(wǎng)卡物理地址，再結(jié)合組網(wǎng)時(shí)創(chuàng)建的一些檔案資料，就能找到究竟是哪臺(tái)計(jì)算機(jī)感染網(wǎng)絡(luò)病毒了。

想到做到，網(wǎng)絡(luò)管理員立即通過(guò)超級(jí)終端程序，以超級(jí)用戶(hù)權(quán)限遠(yuǎn)程登錄進(jìn)入大樓局域網(wǎng)核心交換機(jī)后臺(tái)管理系統(tǒng)，依次執(zhí)行字符串命令“l(fā)anguage-mode chinese”、“system”，將后臺(tái)系統(tǒng)切換成中文系統(tǒng)配置模式，再輸入“dis dia”功能命令，單擊回車(chē)鍵后，系統(tǒng)彈出提示“該操作可能花費(fèi)幾分鐘，繼續(xù)嗎？[Y/N]y”，在輸入y之前，還要在超級(jí)終端窗口依次單擊“傳送”/“捕獲文字”命令，然后設(shè)置一個(gè)保存掃描結(jié)果的文本文件，之后單擊“y”按鍵，核心交換機(jī)后臺(tái)系統(tǒng)就會(huì)自動(dòng)將各個(gè)交換端口的掃描結(jié)果保存到事先設(shè)置好的文本文件中。

掃描結(jié)束后，網(wǎng)絡(luò)管理員打開(kāi)保存了掃描結(jié)果的文本文件，經(jīng)過(guò)仔細(xì)搜索，終于找到了類(lèi)似“%2009/11/12 09:46:14 YCXZ_W_P8512 ARP/4/DUPIFIP:Slot=2;檢測(cè)到IP地址10.176.9.1與VLAN10接口地址沖突，沖突設(shè)備的MAC地址為0016-9612-a22f”這樣的提示信息（如圖2所示），該提示信息明白無(wú)誤地告訴我們，來(lái)自VLAN10中的一臺(tái)計(jì)算機(jī)感染了ARP病毒，該計(jì)算機(jī)的網(wǎng)卡物理地址為0016-9612-a22f，正是這臺(tái)計(jì)算機(jī)感染了網(wǎng)絡(luò)病毒，造成了VLAN10中的所有計(jì)算機(jī)都不能正常上網(wǎng)。

圖2

定位病毒位置

在確認(rèn)了四樓所有用戶(hù)都不能上網(wǎng)故障是由ARP病毒引起之后，網(wǎng)絡(luò)管理員下一步的工作就是找到具體的那臺(tái)病毒計(jì)算機(jī)，并將它從網(wǎng)絡(luò)中隔離開(kāi)始，并要求上網(wǎng)用戶(hù)及時(shí)清除病毒。為了定位病毒位置，網(wǎng)絡(luò)管理員先是查看了組網(wǎng)時(shí)的檔案資料，找出VLAN10究竟劃分配置在哪些交換機(jī)中，結(jié)果發(fā)現(xiàn)VLAN10位于IP地址為10.176.0.113的樓層交換機(jī)上；

找到故障交換機(jī)后，網(wǎng)絡(luò)管理員立即telnet到該交換機(jī)后臺(tái)系統(tǒng)，進(jìn)入該系統(tǒng)的全局配置模式狀態(tài)，在該狀態(tài)下輸入字符串命令“dis mac”，單擊回車(chē)鍵后，連接到該交換機(jī)上所有在線(xiàn)計(jì)算機(jī)的網(wǎng)卡物理地址全部顯示出來(lái)了，經(jīng)過(guò)仔細(xì)對(duì)比，網(wǎng)絡(luò)管理員發(fā)現(xiàn)MAC地址為0016-9612-a22f的病毒計(jì)算機(jī)位于目標(biāo)交換機(jī)的第9個(gè)以太端口；

為了解除該端口對(duì)整個(gè)虛擬工作子網(wǎng)上網(wǎng)狀態(tài)的影響，網(wǎng)絡(luò)管理員先是執(zhí)行了“inter e0/9”命令，進(jìn)入第9個(gè)以太端口的視圖模式狀態(tài)，在該狀態(tài)下再執(zhí)行“shutdown”命令，將該端口的工作狀態(tài)暫時(shí)關(guān)閉掉（如圖3所示）；在關(guān)閉病毒計(jì)算機(jī)的連接端口后，網(wǎng)絡(luò)管理員在四樓網(wǎng)絡(luò)中進(jìn)行了測(cè)試，發(fā)現(xiàn)現(xiàn)在所有的計(jì)算機(jī)已經(jīng)都能上網(wǎng)了，這證明之前的大面積不能上網(wǎng)故障就是由MAC地址為0016-9612-a22f的病毒計(jì)算機(jī)造成的；

圖3

重新來(lái)到故障交換機(jī)現(xiàn)場(chǎng)，查看第9個(gè)以太端口上的標(biāo)簽，網(wǎng)絡(luò)管理員發(fā)現(xiàn)該端口連接到406房間，很顯然406房間中的計(jì)算機(jī)感染了網(wǎng)絡(luò)病毒，立即電話(huà)聯(lián)系該房間的上網(wǎng)用戶(hù)，通知他必須盡快查殺ARP病毒，當(dāng)上網(wǎng)用戶(hù)將網(wǎng)絡(luò)病毒清楚干凈后，網(wǎng)絡(luò)管理員再次將它的交換端口打開(kāi)，然后重新在核心交換機(jī)上執(zhí)行了一次端口掃描操作，這一次沒(méi)有看到地址沖突的提示，顯然406房間的計(jì)算機(jī)網(wǎng)絡(luò)病毒已經(jīng)被清除干凈了，整個(gè)大樓網(wǎng)絡(luò)的上網(wǎng)狀態(tài)也已經(jīng)恢復(fù)正常了。

【51CTO.com獨(dú)家特稿，非經(jīng)授權(quán)請(qǐng)勿轉(zhuǎn)載。合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com，且不得修改原文內(nèi)容?！?/P>