【51CTO.com獨家特稿】為了提高網(wǎng)絡管理效率，現(xiàn)在規(guī)模稍微大一點的局域網(wǎng)網(wǎng)絡，都會選用三層交換技術(shù)的路由交換機進行組網(wǎng)，這樣不但可以提高網(wǎng)絡數(shù)據(jù)包轉(zhuǎn)發(fā)效率，而且我們也可以充分利用它的強大管理功能提高網(wǎng)絡管理效率。這不，局域網(wǎng)網(wǎng)絡很容易遭遇ARP病毒的攻擊，一旦遇到這種類型的病毒攻擊時，我們該如何快速地“揪”出ARP病毒呢？相信要解決這樣的問題，多數(shù)網(wǎng)絡管理員都會求救于專業(yè)的網(wǎng)絡管理工具。其實，我們沒有必要舍近求遠，完全可以利用三層交換機的強大管理功能，來采用手工方法快速“揪”出ARP病毒；下面，本文就以常見的H3C品牌的S8500系列路由交換機為操作藍本，向各位朋友還原手工“揪”出ARP病毒的詳細過程。

網(wǎng)絡運行狀況

某大樓包含50多個單位，這些單位分布在大樓的18層樓中，每個樓層少則分布一個單位，多則同時分布三四個單位，所有單位都有自己獨立的虛擬工作子網(wǎng)，它們只能通過大樓局域網(wǎng)中H3C品牌的S8500核心路由交換機訪問Internet網(wǎng)絡，各個虛擬工作子網(wǎng)之間并不能互相訪問，這樣能夠有效地抑制網(wǎng)絡風暴以及病毒的大面積傳播，從而有利于保持大樓網(wǎng)絡的運行穩(wěn)定性。整個大樓的組網(wǎng)結(jié)構(gòu)也是很清晰明了，所有單位的計算機都通過100M網(wǎng)絡雙絞線纜連接到對應樓層的二層交換機中，所有二層交換機又通過1000M光纖線纜與大樓局域網(wǎng)中的核心交換機保持連接。

平時，大樓網(wǎng)絡管理員可以定期利用核心交換機系統(tǒng)自帶的掃描、診斷功能，對各個光纖交換端口的流量狀態(tài)進行監(jiān)控，一旦發(fā)現(xiàn)端口輸入數(shù)據(jù)包流量、輸出數(shù)據(jù)包流量同時超過1000M/S時，網(wǎng)絡管理員都會認為連接到該光纖端口下的虛擬工作子網(wǎng)可能工作不正常，為了防止這種不正?，F(xiàn)象危害到整個大樓網(wǎng)絡的運行狀態(tài)，網(wǎng)絡管理員會及時利用交換機系統(tǒng)提供的“shutdown”命令，暫時關(guān)閉流量異常的光纖交換端口，之后根據(jù)組網(wǎng)時建立的檔案資料，找到流量異常的二層交換機，再按照同樣的方法掃描各個普通的以太交換端口，最終就能找到引發(fā)流量異常的故障因素了。

疑似病毒攻擊

可是，最近遇到的網(wǎng)絡故障，讓大樓網(wǎng)絡管理員感到十分的郁悶，因為按照相同的辦法進行網(wǎng)絡故障排查，就是無法找到具體的故障原因。原來，昨天早上剛剛上班的時候，來自六樓的某個上網(wǎng)用戶打電話報修網(wǎng)絡故障，網(wǎng)絡管理員詢問他什么時候發(fā)現(xiàn)不能上網(wǎng)的，他回答說剛剛出現(xiàn)這種故障現(xiàn)象；對于這樣的故障報修情況，網(wǎng)絡管理員已經(jīng)習以為常了，很多時候都是客戶端系統(tǒng)自身引起的，例如網(wǎng)絡線纜接觸不牢啊，上網(wǎng)IP地址被突然搶用啊，或者是客戶端操作系統(tǒng)出現(xiàn)意外啊，也有可能是網(wǎng)絡病毒發(fā)作的緣故！然而，當網(wǎng)絡管理員正要將這些可能的因素告訴上網(wǎng)用戶，進行逐一排查時，又有幾個故障報修電話連續(xù)打過來，他們都說自己的計算機突然不能上網(wǎng)了，而且咨詢了四樓的其他上網(wǎng)用戶，這些用戶的計算機都出現(xiàn)了相同的故障現(xiàn)象。

這些接二連三的故障報修電話，讓網(wǎng)絡管理員下意識地認為，整個四樓出現(xiàn)的網(wǎng)絡無法訪問故障，肯定與客戶端系統(tǒng)自身無關(guān)，按照常規(guī)思路分析，很可能是位于四樓的二層交換機工作狀態(tài)發(fā)生了意外。于是，網(wǎng)絡管理員立即登錄進入大樓局域網(wǎng)的核心交換機后臺管理系統(tǒng)，在該系統(tǒng)的全局配置狀態(tài)下，執(zhí)行“dis dia”字符串命令，來檢查各個光纖交換端口的工作狀態(tài)是否異常；可是，經(jīng)過一段時間的掃描、診斷之后，網(wǎng)絡管理員并沒有發(fā)現(xiàn)哪個交換端口的工作狀態(tài)不正常，也就是與各個單位樓層交換機相連的光纖交換端口都處于“up”狀態(tài)（如圖1所示），那為什么四樓所有的用戶不能正常上網(wǎng)呢？

圖1

雖然四樓交換機的級聯(lián)端口工作狀態(tài)正常，但是劃分在該交換機中的所有虛擬工作子網(wǎng)都不能正常訪問外網(wǎng)，這說明了什么呢？網(wǎng)絡管理員思來想去，認為可能是交換機的虛擬內(nèi)存發(fā)生了錯誤，造成了交換機返回虛假的狀態(tài)信息，況且交換機持續(xù)工作的時間長了，就十分容易出現(xiàn)虛擬緩存溢出的錯誤；對于交換機虛擬緩存溢出的故障現(xiàn)象，我們往往只要重新啟動一下交換機系統(tǒng)，就能讓虛擬緩存工作狀態(tài)恢復正常了；可是，當網(wǎng)絡管理員來到四樓交換機現(xiàn)場，將其電源斷開，過一會兒再次接通電源，進行重新啟動交換系統(tǒng)時，發(fā)現(xiàn)四樓的所有用戶還是不能正常上網(wǎng)，顯然這種現(xiàn)象與交換機的虛擬緩存是沒有任何關(guān)系的。會不會是四樓交換機每個交換端口都同時出現(xiàn)了問題呢？雖然理論上有這種可能，但是網(wǎng)絡管理員通過隨機配帶的控制線纜登錄進入目標交換機后臺系統(tǒng)，在該系統(tǒng)的全局配置狀態(tài)下，使用“dis inter e0/x”命令依次查看每個交換端口的工作狀態(tài)時，發(fā)現(xiàn)它們的工作狀態(tài)都很正常，既沒有看到交換端口流量有什么異常，也沒有看到端口處于“down”狀態(tài)，很明顯四樓所有用戶不能上網(wǎng)現(xiàn)象與交換機沒有任何關(guān)系。

在排除了上面一些因素后，網(wǎng)絡管理員對故障現(xiàn)象進行了重新分析，認為還有一種可能會造成某個樓層不能集體上網(wǎng)，那就是四樓的某個虛擬工作子網(wǎng)可能感染了網(wǎng)絡病毒，特別有可能是感染了ARP病毒，因為ARP病毒一旦發(fā)作，那么對應虛擬工作子網(wǎng)中的所有用戶原來直接通過局域網(wǎng)網(wǎng)關(guān)上網(wǎng)，現(xiàn)在全部轉(zhuǎn)由通過感染了ARP病毒的主機上網(wǎng)，這樣一來自然就容易出現(xiàn)大面積不能上網(wǎng)的故障現(xiàn)象。

手工緝拿病毒

由于上面的故障現(xiàn)象與ARP病毒發(fā)作時的現(xiàn)象十分相似，網(wǎng)絡管理員估計很可能是四樓交換機下面的某臺計算機感染了ARP病毒，造成了與病毒計算機處于同一個虛擬工作子網(wǎng)的所有用戶都不能同時上網(wǎng)了，但是四樓交換機下面連接了很多計算機，那究竟是哪一臺計算機感染了網(wǎng)絡病毒呢？如果按照常規(guī)方法，對四樓所有計算機都進行病毒查殺操作的話，那工作量無疑是十分巨大的，而且真的按照這種方法進行操作，那故障排除效率實在也是太低了！

經(jīng)過查閱S8500系列路由交換機的操作手冊，網(wǎng)絡管理員發(fā)現(xiàn)使用該設備的“dis dia”功能命令，可以掃描出究竟是哪個虛擬工作子網(wǎng)中的計算機IP地址與局域網(wǎng)網(wǎng)關(guān)地址沖突，同時還能掃描出發(fā)生地址沖突計算機的網(wǎng)卡物理地址是什么。根據(jù)這樣的發(fā)現(xiàn)，網(wǎng)絡管理員認為既然S8500系列路由交換機能夠自動掃描識別出與網(wǎng)關(guān)地址沖突的計算機網(wǎng)卡地址，那么當局域網(wǎng)中真的存在ARP網(wǎng)絡病毒時，我們只要對整個交換端口掃描一下，就能把感染了ARP病毒的計算機網(wǎng)卡物理地址找出來了，找到了病毒計算機的網(wǎng)卡物理地址，再結(jié)合組網(wǎng)時創(chuàng)建的一些檔案資料，就能找到究竟是哪臺計算機感染網(wǎng)絡病毒了。

想到做到，網(wǎng)絡管理員立即通過超級終端程序，以超級用戶權(quán)限遠程登錄進入大樓局域網(wǎng)核心交換機后臺管理系統(tǒng)，依次執(zhí)行字符串命令“l(fā)anguage-mode chinese”、“system”，將后臺系統(tǒng)切換成中文系統(tǒng)配置模式，再輸入“dis dia”功能命令，單擊回車鍵后，系統(tǒng)彈出提示“該操作可能花費幾分鐘，繼續(xù)嗎？[Y/N]y”，在輸入y之前，還要在超級終端窗口依次單擊“傳送”/“捕獲文字”命令，然后設置一個保存掃描結(jié)果的文本文件，之后單擊“y”按鍵，核心交換機后臺系統(tǒng)就會自動將各個交換端口的掃描結(jié)果保存到事先設置好的文本文件中。

掃描結(jié)束后，網(wǎng)絡管理員打開保存了掃描結(jié)果的文本文件，經(jīng)過仔細搜索，終于找到了類似“%2009/11/12 09:46:14 YCXZ_W_P8512 ARP/4/DUPIFIP:Slot=2;檢測到IP地址10.176.9.1與VLAN10接口地址沖突，沖突設備的MAC地址為0016-9612-a22f”這樣的提示信息（如圖2所示），該提示信息明白無誤地告訴我們，來自VLAN10中的一臺計算機感染了ARP病毒，該計算機的網(wǎng)卡物理地址為0016-9612-a22f，正是這臺計算機感染了網(wǎng)絡病毒，造成了VLAN10中的所有計算機都不能正常上網(wǎng)。

圖2

定位病毒位置

在確認了四樓所有用戶都不能上網(wǎng)故障是由ARP病毒引起之后，網(wǎng)絡管理員下一步的工作就是找到具體的那臺病毒計算機，并將它從網(wǎng)絡中隔離開始，并要求上網(wǎng)用戶及時清除病毒。為了定位病毒位置，網(wǎng)絡管理員先是查看了組網(wǎng)時的檔案資料，找出VLAN10究竟劃分配置在哪些交換機中，結(jié)果發(fā)現(xiàn)VLAN10位于IP地址為10.176.0.113的樓層交換機上；

找到故障交換機后，網(wǎng)絡管理員立即telnet到該交換機后臺系統(tǒng)，進入該系統(tǒng)的全局配置模式狀態(tài)，在該狀態(tài)下輸入字符串命令“dis mac”，單擊回車鍵后，連接到該交換機上所有在線計算機的網(wǎng)卡物理地址全部顯示出來了，經(jīng)過仔細對比，網(wǎng)絡管理員發(fā)現(xiàn)MAC地址為0016-9612-a22f的病毒計算機位于目標交換機的第9個以太端口；

為了解除該端口對整個虛擬工作子網(wǎng)上網(wǎng)狀態(tài)的影響，網(wǎng)絡管理員先是執(zhí)行了“inter e0/9”命令，進入第9個以太端口的視圖模式狀態(tài)，在該狀態(tài)下再執(zhí)行“shutdown”命令，將該端口的工作狀態(tài)暫時關(guān)閉掉（如圖3所示）；在關(guān)閉病毒計算機的連接端口后，網(wǎng)絡管理員在四樓網(wǎng)絡中進行了測試，發(fā)現(xiàn)現(xiàn)在所有的計算機已經(jīng)都能上網(wǎng)了，這證明之前的大面積不能上網(wǎng)故障就是由MAC地址為0016-9612-a22f的病毒計算機造成的；

圖3

重新來到故障交換機現(xiàn)場，查看第9個以太端口上的標簽，網(wǎng)絡管理員發(fā)現(xiàn)該端口連接到406房間，很顯然406房間中的計算機感染了網(wǎng)絡病毒，立即電話聯(lián)系該房間的上網(wǎng)用戶，通知他必須盡快查殺ARP病毒，當上網(wǎng)用戶將網(wǎng)絡病毒清楚干凈后，網(wǎng)絡管理員再次將它的交換端口打開，然后重新在核心交換機上執(zhí)行了一次端口掃描操作，這一次沒有看到地址沖突的提示，顯然406房間的計算機網(wǎng)絡病毒已經(jīng)被清除干凈了，整個大樓網(wǎng)絡的上網(wǎng)狀態(tài)也已經(jīng)恢復正常了。

【51CTO.com獨家特稿，非經(jīng)授權(quán)請勿轉(zhuǎn)載。合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com，且不得修改原文內(nèi)容?！?/P>