进入社区 | 注册会员 | 网站地图
  首页 机房 安全 数据管理 系统 网络运维 解决方案 知识库 杂志 博客 论坛
交 换 机  路 由 器  无线  网络架构  网络加速  VPN  关键字 本站
 推荐文章
深信服全线产品入围中央政府
路由特殊技术分析
无线路由使用四大误区之盲目
解读CISCO与华为3COM路由器
守卫网络门户路由器安全设置
7.2 行动用户VPN软件
防火墙与路由器的安全性比较
路由器安全有关的目录
路由器的安全与可靠的问题
 热点文章
企业网管员如何监控公司网络
无线路由、AP、网桥之区别详
ping的作用
局域网经典问题解答
局域网提高网速的二十一个小
巧用流量监控 定位ARP欺骗
如何划分子网(3)
IP被封了吗?教你两招修改网
Windows下Ping命令详解
  当前位置:首页 >>网络 >>
巧用流量监控 定位ARP欺骗
2008-04-02 IT专家 甘肃老五
   笔者兼任一所学校的网络管理员,最近该校一栋教学楼内的网络突然出现时断时好的现象,严重影响了正常的教学工作,情况危急,需要马上解决!

  作笔者立即着手进行调查,据老师们反映:联网时,有时候网页打开速度非常缓慢,有时丝毫没有动静,显示无法打开网页。不过,在非上班时间,如中午和晚上等休息时间,网络一切正常。根据这一情况判断,网络硬件故障的可能性微乎其微,经过检查没有发现异常情况,排除了物理上的错误。看来是软件上的问题,脑海中的第一反应就是目前比较流行的ARP攻击。

  ARP协议的中文名为“地址解析协议”,用于将网络中的IP地址解析为硬件地址(MAC地址),以保证通信的顺利进行。当计算机接收到ARP应答数据包的时候,就会对本地的ARP缓存进行更新,将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中,如果有人发送一个自己伪造的ARP应答,网络可能就会出现问题,这就是ARP欺骗,其常见的特征就是主机频繁掉线。

  这与我们的网络症状非常相似,但是ARP攻击需要找到它的源头,一般的方法很难查找,需要在交换机上进行抓包分析,于是找到了Iris Network Traffic Analyzer(以下简称Iris)。这是一款网络流量分 析监测工具,可以帮助系统管理员轻易地捕获和查看用户的使用情况,同时检测进入和发出的信息流,自动进行存储和统计。这款软件的图标很像一只眼睛,看来 “火眼金睛”是找到了,现在就花工夫怎么用好它了!

  由于该教学楼的交换机是一台非网管型交换机,只好拿着笔记本电脑在网络设备房“蹲点”。把笔记本电脑连接在交换机端口上,打开Iris,界面显示(如图1)。

   

巧用流量监控 定位ARP欺骗

 依旧是我们熟悉的典型Windows软件风格,单击开始捕获按钮,Iris开始工作,对数据包实施抓捕。Iris对数据包抓捕的同时可以对其进行分析, 点击某一时刻的数据包在快速分析窗口中查看解析内容。在Statistics(统计表)窗口中,我们可以浏览实时数据统计图,对Protocol (网络协议)、Top Hosts(最高流量主机)、Size Distribution(数据包大小分类)和Bandwidth(带宽)进行直接查看。 

 
  相关评论[查看所有评论]
 
  发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
心情:
  • 支持
  • 高兴
  • 枪稿
  • 不解
  • 搞笑
  • 愤怒
  • 谎言
账号: 密码: 验证码:看不清?点击更换
 
  相关新闻
 
友情链接 | 欢迎投稿 | 杂志发行 | 广告报价 | 人才招聘 | 服务条款 | 免责声明 | 隐私保护 | 关于网管员世界
CopyRight © 2001-2008 [网管员世界 www.365master.com] All Rights Reserved.
《网管员世界》杂志,专为网管服务的刊物!