【51CTO.com獨家特稿】為了提高網絡管理效率，現在規模稍微大一點的局域網網絡，都會選用三層交換技術的路由交換機進行組網，這樣不但可以提高網絡數據包轉發效率，而且我們也可以充分利用它的強大管理功能提高網絡管理效率。這不，局域網網絡很容易遭遇ARP病毒的攻擊，一旦遇到這種類型的病毒攻擊時，我們該如何快速地“揪”出ARP病毒呢？相信要解決這樣的問題，多數網絡管理員都會求救于專業的網絡管理工具。其實，我們沒有必要舍近求遠，完全可以利用三層交換機的強大管理功能，來采用手工方法快速“揪”出ARP病毒；下面，本文就以常見的H3C品牌的S8500系列路由交換機為操作藍本，向各位朋友還原手工“揪”出ARP病毒的詳細過程。

網絡運行狀況

某大樓包含50多個單位，這些單位分布在大樓的18層樓中，每個樓層少則分布一個單位，多則同時分布三四個單位，所有單位都有自己獨立的虛擬工作子網，它們只能通過大樓局域網中H3C品牌的S8500核心路由交換機訪問Internet網絡，各個虛擬工作子網之間并不能互相訪問，這樣能夠有效地抑制網絡風暴以及病毒的大面積傳播，從而有利于保持大樓網絡的運行穩定性。整個大樓的組網結構也是很清晰明了，所有單位的計算機都通過100M網絡雙絞線纜連接到對應樓層的二層交換機中，所有二層交換機又通過1000M光纖線纜與大樓局域網中的核心交換機保持連接。

平時，大樓網絡管理員可以定期利用核心交換機系統自帶的掃描、診斷功能，對各個光纖交換端口的流量狀態進行監控，一旦發現端口輸入數據包流量、輸出數據包流量同時超過1000M/S時，網絡管理員都會認為連接到該光纖端口下的虛擬工作子網可能工作不正常，為了防止這種不正常現象危害到整個大樓網絡的運行狀態，網絡管理員會及時利用交換機系統提供的“shutdown”命令，暫時關閉流量異常的光纖交換端口，之后根據組網時建立的檔案資料，找到流量異常的二層交換機，再按照同樣的方法掃描各個普通的以太交換端口，最終就能找到引發流量異常的故障因素了。

疑似病毒攻擊

可是，最近遇到的網絡故障，讓大樓網絡管理員感到十分的郁悶，因為按照相同的辦法進行網絡故障排查，就是無法找到具體的故障原因。原來，昨天早上剛剛上班的時候，來自六樓的某個上網用戶打電話報修網絡故障，網絡管理員詢問他什么時候發現不能上網的，他回答說剛剛出現這種故障現象；對于這樣的故障報修情況，網絡管理員已經習以為常了，很多時候都是客戶端系統自身引起的，例如網絡線纜接觸不牢啊，上網IP地址被突然搶用啊，或者是客戶端操作系統出現意外啊，也有可能是網絡病毒發作的緣故！然而，當網絡管理員正要將這些可能的因素告訴上網用戶，進行逐一排查時，又有幾個故障報修電話連續打過來，他們都說自己的計算機突然不能上網了，而且咨詢了四樓的其他上網用戶，這些用戶的計算機都出現了相同的故障現象。

這些接二連三的故障報修電話，讓網絡管理員下意識地認為，整個四樓出現的網絡無法訪問故障，肯定與客戶端系統自身無關，按照常規思路分析，很可能是位于四樓的二層交換機工作狀態發生了意外。于是，網絡管理員立即登錄進入大樓局域網的核心交換機后臺管理系統，在該系統的全局配置狀態下，執行“dis dia”字符串命令，來檢查各個光纖交換端口的工作狀態是否異常；可是，經過一段時間的掃描、診斷之后，網絡管理員并沒有發現哪個交換端口的工作狀態不正常，也就是與各個單位樓層交換機相連的光纖交換端口都處于“up”狀態（如圖1所示），那為什么四樓所有的用戶不能正常上網呢？

圖1

雖然四樓交換機的級聯端口工作狀態正常，但是劃分在該交換機中的所有虛擬工作子網都不能正常訪問外網，這說明了什么呢？網絡管理員思來想去，認為可能是交換機的虛擬內存發生了錯誤，造成了交換機返回虛假的狀態信息，況且交換機持續工作的時間長了，就十分容易出現虛擬緩存溢出的錯誤；對于交換機虛擬緩存溢出的故障現象，我們往往只要重新啟動一下交換機系統，就能讓虛擬緩存工作狀態恢復正常了；可是，當網絡管理員來到四樓交換機現場，將其電源斷開，過一會兒再次接通電源，進行重新啟動交換系統時，發現四樓的所有用戶還是不能正常上網，顯然這種現象與交換機的虛擬緩存是沒有任何關系的。會不會是四樓交換機每個交換端口都同時出現了問題呢？雖然理論上有這種可能，但是網絡管理員通過隨機配帶的控制線纜登錄進入目標交換機后臺系統，在該系統的全局配置狀態下，使用“dis inter e0/x”命令依次查看每個交換端口的工作狀態時，發現它們的工作狀態都很正常，既沒有看到交換端口流量有什么異常，也沒有看到端口處于“down”狀態，很明顯四樓所有用戶不能上網現象與交換機沒有任何關系。

在排除了上面一些因素后，網絡管理員對故障現象進行了重新分析，認為還有一種可能會造成某個樓層不能集體上網，那就是四樓的某個虛擬工作子網可能感染了網絡病毒，特別有可能是感染了ARP病毒，因為ARP病毒一旦發作，那么對應虛擬工作子網中的所有用戶原來直接通過局域網網關上網，現在全部轉由通過感染了ARP病毒的主機上網，這樣一來自然就容易出現大面積不能上網的故障現象。

手工緝拿病毒

由于上面的故障現象與ARP病毒發作時的現象十分相似，網絡管理員估計很可能是四樓交換機下面的某臺計算機感染了ARP病毒，造成了與病毒計算機處于同一個虛擬工作子網的所有用戶都不能同時上網了，但是四樓交換機下面連接了很多計算機，那究竟是哪一臺計算機感染了網絡病毒呢？如果按照常規方法，對四樓所有計算機都進行病毒查殺操作的話，那工作量無疑是十分巨大的，而且真的按照這種方法進行操作，那故障排除效率實在也是太低了！

經過查閱S8500系列路由交換機的操作手冊，網絡管理員發現使用該設備的“dis dia”功能命令，可以掃描出究竟是哪個虛擬工作子網中的計算機IP地址與局域網網關地址沖突，同時還能掃描出發生地址沖突計算機的網卡物理地址是什么。根據這樣的發現，網絡管理員認為既然S8500系列路由交換機能夠自動掃描識別出與網關地址沖突的計算機網卡地址，那么當局域網中真的存在ARP網絡病毒時，我們只要對整個交換端口掃描一下，就能把感染了ARP病毒的計算機網卡物理地址找出來了，找到了病毒計算機的網卡物理地址，再結合組網時創建的一些檔案資料，就能找到究竟是哪臺計算機感染網絡病毒了。

想到做到，網絡管理員立即通過超級終端程序，以超級用戶權限遠程登錄進入大樓局域網核心交換機后臺管理系統，依次執行字符串命令“language-mode chinese”、“system”，將后臺系統切換成中文系統配置模式，再輸入“dis dia”功能命令，單擊回車鍵后，系統彈出提示“該操作可能花費幾分鐘，繼續嗎？[Y/N]y”，在輸入y之前，還要在超級終端窗口依次單擊“傳送”/“捕獲文字”命令，然后設置一個保存掃描結果的文本文件，之后單擊“y”按鍵，核心交換機后臺系統就會自動將各個交換端口的掃描結果保存到事先設置好的文本文件中。

掃描結束后，網絡管理員打開保存了掃描結果的文本文件，經過仔細搜索，終于找到了類似“%2009/11/12 09:46:14 YCXZ_W_P8512 ARP/4/DUPIFIP:Slot=2;檢測到IP地址10.176.9.1與VLAN10接口地址沖突，沖突設備的MAC地址為0016-9612-a22f”這樣的提示信息（如圖2所示），該提示信息明白無誤地告訴我們，來自VLAN10中的一臺計算機感染了ARP病毒，該計算機的網卡物理地址為0016-9612-a22f，正是這臺計算機感染了網絡病毒，造成了VLAN10中的所有計算機都不能正常上網。

圖2

定位病毒位置

在確認了四樓所有用戶都不能上網故障是由ARP病毒引起之后，網絡管理員下一步的工作就是找到具體的那臺病毒計算機，并將它從網絡中隔離開始，并要求上網用戶及時清除病毒。為了定位病毒位置，網絡管理員先是查看了組網時的檔案資料，找出VLAN10究竟劃分配置在哪些交換機中，結果發現VLAN10位于IP地址為10.176.0.113的樓層交換機上；

找到故障交換機后，網絡管理員立即telnet到該交換機后臺系統，進入該系統的全局配置模式狀態，在該狀態下輸入字符串命令“dis mac”，單擊回車鍵后，連接到該交換機上所有在線計算機的網卡物理地址全部顯示出來了，經過仔細對比，網絡管理員發現MAC地址為0016-9612-a22f的病毒計算機位于目標交換機的第9個以太端口；

為了解除該端口對整個虛擬工作子網上網狀態的影響，網絡管理員先是執行了“inter e0/9”命令，進入第9個以太端口的視圖模式狀態，在該狀態下再執行“shutdown”命令，將該端口的工作狀態暫時關閉掉（如圖3所示）；在關閉病毒計算機的連接端口后，網絡管理員在四樓網絡中進行了測試，發現現在所有的計算機已經都能上網了，這證明之前的大面積不能上網故障就是由MAC地址為0016-9612-a22f的病毒計算機造成的；

圖3

重新來到故障交換機現場，查看第9個以太端口上的標簽，網絡管理員發現該端口連接到406房間，很顯然406房間中的計算機感染了網絡病毒，立即電話聯系該房間的上網用戶，通知他必須盡快查殺ARP病毒，當上網用戶將網絡病毒清楚干凈后，網絡管理員再次將它的交換端口打開，然后重新在核心交換機上執行了一次端口掃描操作，這一次沒有看到地址沖突的提示，顯然406房間的計算機網絡病毒已經被清除干凈了，整個大樓網絡的上網狀態也已經恢復正常了。

【51CTO.com獨家特稿，非經授權請勿轉載。合作站點轉載請注明原文作者和出處為51CTO.com，且不得修改原文內容。】