以前的时候经常接触到ARP风暴这个名词,但是真的没有实战去解决过这个问题。我们都知道ARP是数据链路层一个很正常的地址解析协议,负责将ip地址和MAC地址进行转换和解析,在网络传输中发挥着非常重要的作用。
     IP数据包常通过以太网发送。以太网设备并不识别32位IP地址:它们是以48位以太网地址传输以太网数据包的。因此,IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射,常常需要查看一张表。地址解析协议(Address Resolution Protocol,ARP)就是用来确定这些映象的协议。
     ARP工作时,送出一个含有所希望的IP地址的以太网广播数据包。目的地主机,或另一个代表该主机的系统,以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来,以节约不必要的ARP通信。
如果有一个不被信任的节点对本地网络具有写访问许可权,那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己,然后它就可以扮演某些机器,或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上, ARP映射可以用固件,并且具有自动抑制协议达到防止干扰的目的。
     了解完了这些概述后,还是说说我的经历吧,那天受区教育局委托去一个中学解决网络不稳定问题,一开始我就怀疑是arp问题导致他们时断时续,因为市教育局要他在他们学校召开会议并使用网络直播,所以他们对次网络故障非常重视。
     首先说一下他们的网络结构吧,学校是光线接入,然后到一个路由器,通过路由器到一个交换机,从交换机出来两根网线到两个光电转换器,两个光电转换器分别到两个实验楼,实现了过线到大楼的这样一个结构,其中一个实验楼就是经常出问题的地方。我和经理来到有问题的实验楼,看了一下他们的网络环境,可以用非常乱来形容!我和经理重新给这个大楼的交换机整理了线路,其实这个实验楼的网络结构很简单,就是刚才的一根光纤进入一个48口交换机,交换机接班级电脑、教师电脑、和一个8口小交换。8口的交换机接了一个视频服务器和学校的服务器。
     使用集线器(Hub)作为网络中心交换设备的网络即为共享式网络,集线器(Hub)以共享模式工作在OSI层次的物理层。如果您局域网的中心交换设备是集线器(Hub),可将网络协议分析软件安装在局域网中任意一台主机上,此时软件可以捕获整个网络中所有的数据通讯,其安装简图如上。
     刚开始他的网络是正常的所有的流量和链接很正常,对了我们使用的是科来网络分析系统。但是到了三点多的时候就开始不正常了,突然出现了又一个192.168.18.255的链接
大家可以看到它的链接是非常不正常的大量接受数据包,而不发送数据包!
和老师一问根本就没有255这个IP地址,我判断是伪造的IP地址,那么是那个IP地址伪装成网关造成arp欺骗呢?
对了就是可能是84这个机器
     可以看到就是84这个老师的机器在发送大量的数据包,至于是和255直接有没有联系我也正在分析。我到了84机器这个老师的办公室发现还有一个86,85也很不正常同84一样发送了大量的数据包但是很少接受数据,断掉了这个办公司的小交换后,其他机器正常上网!判断是这个办公司内感染了ARP病毒!然后让他们杀毒安装防火墙或者重新装系统处理。