［故障現(xiàn)象］

筆者單位的局域網(wǎng)采用CISCO catayst 5505交換機總共劃分4個VLAN，VLAN之間的數(shù)據(jù)交換通過CISCO 4500路由器來進行路由交換，己經(jīng)正常運行兩年之久。但最近一段時間以來，出現(xiàn)了比較少見的故障。

網(wǎng)絡(luò)時斷時續(xù)的情況非常嚴重，并且不斷報告計算機的IP地址沖突問題；筆者重點檢查了5505交換機的ARP表，情況如下：



（1）CISCO 5505交換機的ARP表只有6～8條記錄，而它直連的計算機有60臺，4500路由器的ARP表卻有20多條。

（2）網(wǎng)絡(luò)中有40 臺計算機主要是安裝 Novell的協(xié)議，連接Netware的服務(wù)器，工作正常；安裝TCP／IP協(xié)議的計算機之間 ，Ping的結(jié)果是時斷時續(xù)，Ping不通的計算機卻可以通過“查找計算機”找到。

（3）能夠Ping通的IP地址，在5505交換機的ARP表中卻沒有對應(yīng)的記錄，需要直接在5505交換機中 Ping此IP地址才會產(chǎn)生 ARP表；但有的IP地址存在于 ARP表，卻 Ping 不通，并且存在兩臺計算機的MAC地址相同這樣的奇怪現(xiàn)象（這可能是造成IP地址沖突的原因）或者計算機具有錯誤的MAC地址。
（4）在ARP表中，有的IP地址對應(yīng)的MAC地址雖然正確，但是其對應(yīng)的5505交換機端口（如2／1）又不正確，莫名莫妙地指定到了另外的一個MAC地址或另外的不正確的端口上去。

（5）ARP的Asins Time筆者設(shè)定為3600 Sec，但IP—MAC地址不到10min就會清除幾個，總共5505交換機的ARP表中才6個。

（6）用戶反映在上班以前的網(wǎng)絡(luò)沒有什么問題，但一到上班之后（總共200 臺計算機）問題就比較多了。

（7）交換機的SC0口有時能登錄，有時不行。

診斷過程

因為網(wǎng)絡(luò)原來通過5505交換機分為4個VLAN， 各自的網(wǎng)絡(luò)范圍均不一樣，通過路由器來進行VLAN交換5505交換機連接在網(wǎng)絡(luò)的時候有IP地址沖突現(xiàn)象。為了驗證是否5505交換機的問題，筆者將5505交換機替換下來，用了幾臺 CISCO 2924．D一Lnk1024交換機進行級聯(lián)替換上去。但是意想不到的事情發(fā)生了：網(wǎng)絡(luò)中IP地址沖突現(xiàn)象嚴重，許多計算機互相Ping不通，不能進行通信，但是Novell網(wǎng)的客戶端和服務(wù)器通信正常（200臺左右的計算機沒有劃分V L A N）

筆者將CISCO 5505交換機的板卡、內(nèi)存、模塊進行了檢查維護，并對5505進行了重新配置再接入局域網(wǎng)。

同時，筆者對網(wǎng)絡(luò)中的VLAN進行了調(diào)整，設(shè)置為3個VLAN的網(wǎng)絡(luò)，另一個VLAN（懷疑有問題的網(wǎng)絡(luò)）使用一臺D—Link交換機連接。進行測試。



筆者將認為有問題的VLAN單獨分離后，其他接CISCO  5 5 0 5交換機的3個VLAN作正常，包括通過 CJSCO 4500 路由器進行 VLAN之間的路由也正常，但是將認為有問題的VLAN（50臺左右的Novell客戶機、50臺左右的Windows 98客戶機）接入CISCO 5505交換機（備注：在接入這些計算機后此VLAN會增加20臺左右的計算機，包括SUN服務(wù)器，原來這些計算機與SUN服務(wù)器通信是正常的，此VLAN總共為 120臺）1～2h以后，就開始出現(xiàn)所有的客戶機（包括原來的20臺計算機）訪問SUN服務(wù)器時斷時通的現(xiàn)象。

于是筆者又將這 100臺計算機的交換機從CISCO 5505交換機上斷開，原來的20臺計算機就可以與SUN服務(wù)器通信了。

筆者認為故障應(yīng)該不在5505交換機上面，因為出問題的VLAN己經(jīng)單獨換出來，并用幾臺CISCO 2924交換機和D—Link 1024交換機級聯(lián)在一起組成一個網(wǎng)絡(luò)，網(wǎng)絡(luò)中這100臺左右的計算機包括SUN服務(wù)器、Novell服務(wù)器、Novell客戶機、Windows 98客戶機。

Novel服務(wù)器和Novel客戶機工作正常 ；

Windows 98客戶機Ping SUN服務(wù)器時通時斷；

Windows98客戶機之間Ping也是時通時斷

Windows 98客戶機可以通過“查找計算機”找到另外的Windows 98計算機 :

筆者通過查看IP地址分配表，發(fā)現(xiàn)網(wǎng)絡(luò)中IP地址并沒有重復(fù)，但還是沖突不斷，無論換什么IP地址都是這樣Ping還是時通時不通。

從以上的種種現(xiàn)象分析，基本可以認為是某些計算機在產(chǎn)生大量的數(shù)據(jù)包，占用了大量的網(wǎng)絡(luò)和系統(tǒng)資源。

在逐個排查客戶機的時候，發(fā)現(xiàn)有一臺計算機啟動的時候，屏幕上會出現(xiàn)提示該機的IP地址與某個硬件地址沖突（MAC： 00 ：10：5C：AF：CF： 45）。不管改成什么IP地址都會出現(xiàn)lP地址）沖突。接下來發(fā)現(xiàn)幾乎所有客戶機都提示與上述MAC地址沖突 ，但是暫時無法確定這個MAC地址的來源

筆者通過監(jiān)測軟件，看到IPX協(xié)議包Talker是廣播包（Broadcast）：IP協(xié)議包的Taker是l92. 168．0．255. 192. 168．255．255. 192. 255. 255. 255等，但從通信量 Top10 Host來看，沒有什么大的數(shù)據(jù)包。

用Fluke的協(xié)議診斷軟件Protocol InsPector進行了5h的監(jiān)測，終于發(fā)現(xiàn)有一臺計算機在向一個外部Internet IP地址發(fā)送大量的UDP數(shù)據(jù)包。筆者將這臺計算機進行了隔離測試 結(jié)果發(fā)現(xiàn)網(wǎng)絡(luò)恢復(fù)正常。將這臺計算機接上，網(wǎng)絡(luò)開始不正常。因此，確認是此臺計算機的問題。

對此計算機進行了封存檢查，發(fā)現(xiàn)發(fā)送大量廣播包是一個虛假現(xiàn)象。真正原因是該計算機上的一個類似“黑客軟件”的軟件在網(wǎng)上發(fā)送數(shù)據(jù)量很小的ARP包，將網(wǎng)絡(luò)上交換機中的近200個IP地址的MAC地址都改成一個同樣的MAC地址，造成其他計算機一開機就會出現(xiàn)IP地址沖突，無論改此網(wǎng)段的什么IP地址都會提示沖突，SUN服務(wù)器的ARP緩存當中的MAC地址也被修改造成無法正常工作。由于此軟件不會修改IPX的MAC地址，因此Novell網(wǎng)絡(luò)沒有受到影響。


排除心得估計是由于這臺計算機的用戶上網(wǎng)時不小心下載了這個軟件，一段時間后，開始作用并破壞網(wǎng)絡(luò)通信。此種攻擊方式數(shù)據(jù)量小，攻擊時間不定，MAC地址隱匿、開機時間也不確定，真是防不勝防，局域網(wǎng)的防火墻需要注意隨時升級以避免類似的攻擊行為發(fā)生。