【IT专家网独家】这篇文章源于一个案例:笔者所在地某学校现有机器约310台,其中110台是教师用机,其它的机器为学生用机。一般情况下,只有教师机器上网,学生机只有在上计算机课时,才会开机上网,网络运行一直顺畅。半个月以前,局域网频繁断网,文件共享、网络打印速、网络传输度突然变得缓慢,甚至失去响应。估计是ARP病毒在局域网爆发了,由于ARP病毒的隐蔽性和欺骗性,于是决定通过网络分析软件进行分析,最终问题得到了圆满解决。下面就把这次分析过程写出来与读者交流。
  写在前面的话:因为局域网的特性,所以了解和判断网络内ARP通信情况很有必要。因为对于可以在网络内传播的病毒,都有一个特性,就是他们都得去发现网内其他的机器,不然***从何谈起。当然,要发现整个局域网内的机器是很容易的,只要经过一次ARP扫描就可以发现了。对于这个问题,那么就有人会问了,那样的话,你还能抓到病毒机器发的数据包么 ?是的,这确实是个问题,但事实表明,现在的网络病毒都不得不频繁的发起ARP扫描,原因如下 :
  1、病毒本身技术原因或ARP还有其他某些特性或利用价值。
  2、电脑重新启动后,如校园局域网等,病毒将展开新一轮的*** 。
  3、其他原因。
  归结为一句话大多数网络病毒都具有ARP扫描或ARP欺骗的特性。正因如此我们就可以通过网络分析软件抓住ARP病毒狐狸的尾巴。
   问题一:怎么判断内网的ARP是否正常?
  网络管理员或者使用电脑有一定时间的人对于网络速度都会比较敏感。当我们发现或怀疑网络出现问题之时,我们先打开网络分析软件(本文以科来网络分析软件为例)捕获ARP数据包,然后对所所捕获的ARP数据包进行分析,可以发现有好多的机器都发起过ARP请求,流量相对大的也有很多,但怎么区分正常的请求和异常的请求呢 ?
  正常ARP请求:如(图1)所示,我们打开MAC地址为00:14:85:EE:6A:14的主机的数据包,发现其有两个特点 :第一个是其数据包出现断层,并没有连续下去,看来其所要的目的已经达成 。第二个是所请求的机器都是为其提供服务和与之有工作关系的机器。由以上两点,可以基本判断,其ARP请求为正常。也就是其电脑可以先放在一边,以后再做考虑。
图1
  非正常ARP请求:如(图2)所示,当我们打开 Realtek Semi:d1:ae:d9的时候,发现其特点正好和图2所示的相反,特点也为两个:第一个是其ARP扫描一直不断,而且频率比较高,当我们查看数据包的时候,其ARP数据还在不断更新当中。第二个是其对所有或大部分的机器都进行ARP请求,连局域网内没用的IP它也不放过 (够狠,听说继承“三光‘政策 !)基于此,我们就可以得出其为很不正常的ARP请求现象。赶紧去看看它在做什么,或针对性的对其数据包进行分析 。特别强调一点,如果你在单位的局域网中发现了这样的主机,立马把它列为“犯罪嫌疑人”隔离起来,对其进行进一步的征询,搜集更多的“罪证”,直至把它“绳之以法”。
图2
问题二:如何找出ARP***者的IP或MAC地址呢?
  局域网中的ARP***一般由于个别主机感染ARP病毒发起的,但有时是个别不怀好意者人为发起的。那我们如何找到这个“内奸”,还局域网一个安全稳定的环境呢?我就以一个在发生ARP***时捕获的数据包来进行“无极追踪”。
  用“科来网络分析软件”打开数据包,然后点击“诊断”,打开“诊断视图”,可以看到“数据链路层”有两种ARP故障:“ARP请求风暴”(图3)、“ARP太多无请求应答”(图4)。
图3
图4
情况一:“ARP请求风暴”
  从图3中可以看出其中有问题的主机分别是:“192.168.14.156”和“21.36.238.176”。如果想要进一步证实诊断出的结果,可以查看这个主机发送的“数据包”。下一步要做的是找到这个主机的“源地址”。点击“定位浏览器节点”选择“定位:源地址”,马上定位到“21.36.238.176”的物理地址为00:13:8F6B:7D:99。(图5)接下来,查看这个地址发出的全部数据包。单击“数据包”按钮可以看到正常的ARP数据包发送频率并不高。一般,每分钟不应该超过20个请求,请求包和应答包,数量应该差不多。从这里,我们可以看到“21.36.238.176”发送了大量ARP请求包,而并无收到应答包,并且请求的地址是连续的。另外ARP请求包都是在1秒钟发出来的。至此,证据在握,主机:21.36.238.176确实存在对网络的***。(图6)
图5
图6
情况二:“ARP太多无请求应答”(图7)
图7
  从图7中可以看出MAC地址为00:20:ED:AA:00:04的主机比较可疑,同上定位“源地址”,点击“数据包”按钮,同样的方法,我们可以看到数据包,看出这些数据包在欺骗路由器,让路由器将发送给其它主机的数据,发送给MAC地址为00:20:ED:AA:0D:04的主机和MAC地址为00:20:ED:AA:0D:05的主机,从而获取别人的通讯信息。(图8)
图8
  总结:ARP病毒给局域网带来的危害可以说是毁灭性的,如何判断正常ARP和非正常ARP,并找出病毒源,找到“捣乱者”是网络管理员必须要掌握的一门技术。学习和利用网络分析软件,对于诊断网络故障,解决网络无疑起到事半功倍的效果。