网络分析系统在解决arp攻击中的应用

　　网络中出现速度慢、时断时续、不能访问的网络故障应该是管理员们经常遇到的，我认为掌握并利用网络分析软件往往能够化难为易，帮助管理者快速准确定位故障，从而尽快解决故障
　　一、网络故障描述
　　我校的局域网出现了异常，具体表现为：客户机之间相互ping时严重丢包，校园网用户访问互联网的速度非常慢，甚至不能访问。整个校园网突然出现网络通讯中断，内部用户均不能正常访问互联网。
　　二、故障初步分析
　　初步判断可能是，交换机ARP表更新问题，广播或路由环路故障，病毒攻击等引起的。因此，需要进一步获取ARP信息、交换机负载、网络中传输的原始数据包等信息。
　　首先，在该校的机房的客户机和其下的客户机上分别使用“arp–a”命令查看ARP缓存信息，结果正常。
　　三、层层深入排除故障
　　在分析受阻后，决定应用“科来网络分析系统”捕获并分析网络中传输的数据包，进行网络故障的排查。下面介绍一下排查过程：
　　1.配置抓包
　　在中心交换机上做好端口镜像配置操作，并将分析用笔记本接到此端口上，启动科来网络分析系统6.0捕获分析网络的数据通讯，约2.5分钟后停止捕获并分析捕获到的数据包。
　　2.查看连接定位攻击源
　　我校校园网的主机约为200台，一般情况下，同时在线的有50台左右。在停止捕获后，笔者在科来网络分析系统主界面左边的节点浏览器中发现，内网同时在线的IP主机达到了515台，这表示网络存在许多伪造的IP主机，网络中可能存在伪造IP地址攻击或自动扫描攻击。选择连接视图，发现在约2.5分钟的时间内网络中共发起了827个连接，且状态大多都是客户端请求同步，即三次握手的第一步，由TCP工作原理可知，TCP工作时首先通过三次握手发起连接，如果请求端向不存在的目的端发起了同步请求，由于不会收到目的端主机的确认回复，其状态将会一直处于请求同步直到超时断开。据此，我们现在更加断定校园网中存在自动扫描攻击。
　　选择图表视图，并选中TCP连接子视图项，查看192.168.5.119主机的TCP连接情况，发现92.168.5.119这台主机在约2.5分钟的时间内发起了300个连接，且其中有193个连接都是初始化连接，即同步连接，这表示192.168.5.119主机肯定存在自动扫描攻击。
　　3.通过协议确定攻击方式
　　选择数据包视图查看192.168.5.119传输数据的原始解码信息，这些数据包的大小都是66字节，协议都是CIFS，源地址都是192.168.5.119，而目标地址则随机产生，目标端口都是445，且数据包的TCP标记位都将同步位置1，这说明192.168.5.119这台机器正在主动对网络中主机的TCP445端口进行扫描攻击，原因可能是192.168.5.119主机感染病毒程序，或者是人为使用扫描软件进行攻击。
　　找到问题的根源后，正准备对192.168.5.119主机进行隔离，这时因其它事情中断分析工作约10分钟左右。继续工作，隔离192.168.5.119主机的同时再次将启动科来网络分析系统6.0捕获分析网络的数据通讯，约2.5分钟后停止捕获并分析捕获到的数据包。
　　分析捕获到的数据包，网络中又出现了3台与192.168.5.119相似情况的主机，且这些主机发起的同步连接数都大大超过192.168.5.119，即是其中一台主机在约2.5分钟内的发起的连接数，其中同步连接达到了431个。
　　通过这个情况，我们可以肯定192.168.5.119和新发现的三台主机都是感染了病毒，且该病毒会主动扫描网络中其它主机是否打开TCP445端口，如果某主机打开该端口，就攻击并感染这台主机。如此循环，即引发了上述的网络故障。
　　4.隔离杀毒解除故障
　　立即对新发现感染病毒的3台主机进行隔离，ping测试响应时间立刻变为1ms，网络通讯立刻恢复正常。
　　5.补充说明
　　需要说明的是，在解决该网络故障的过程中进行了两次抓包，这两次抓包相隔仅10分钟的时间，通过对数据包的分析发现网络中就被新感染主机。
　　由此我们可以想象，不使用网络检测分析软件捕获分析网络中传输的数据包，仅通过查看交换机的端口流量，或者使用单纯的流量软件，很难找到问题的根源，这样网络中感染病毒的主机会越来越多，最终将导致整个网络的全部瘫痪。
　　
　　中国致力于为需要刊登论文的人士提供相关服务,提供迅速快捷的论文发表、写作指导等服务。具体发表流程为：客户咨询→确定合作，客户支付定金→文章发送并发表→客户接收录用通知，支付余款→杂志出版并寄送客户→客户确认收到。系学术网站，对所投稿件无稿酬支付，谢绝非学术类稿件的投递！　　