四、循序渐进找出真凶
为了检测10.91.30.244这台计算机的位置和是否使用了虚假IP,笔者再次通过sniffer软件截获企业内网所有数据包,发现10.91.30.244赫然在目,这说明该地址不是一个伪造的地址而是一台真实的主机(如图4)。
|
图4 |
通过查询该机器的数据通讯记录发现该主机和其他内网机器的通讯为0,所有数据包都是发送到10.91.30.255地址的,这是一个广播地址,也就是说他频繁发送广播数据包造成伪造MAC地址其他机器均无法上网的恶劣后果(如图5)。
|
图5 |
小提示:之前笔者也通过在DHCP服务器的地址租约中去寻找真凶,不过地址租约表中没有该MAC对应的地址信息,这说明该主机并没有通过自动获得IP地址等网络参数的途径设置网络。
笔者继续在sniffer软件中查找主机通讯记录,最终发现了10.91.30.244地址对应的主机名是user-e357aa6f1f,根据主机名笔者找到了出问题计算机的机主,原来他最近重新安装了操作系统,然而却没有打开自动更新来下载众多安全补丁,最终结果造成了ARP欺骗病毒利用漏洞入侵系统,进一步造成整个企业内部计算机访问外部网络时断时续的问题(如图6)。
|
图6 |
五、总结
本次故障是由一台主机感染ARP欺骗蠕虫病毒带来的,然而危害却是巨大的,企业所有计算机访问网络都受到了影响。并且笔者也曾经尝试ping -a ip地址来查看出问题主机的机器名,结果是超时没有任何回馈信息,另外在出现断网问题后笔者也使用arp -s手工添加了ARP地址映射关系依然没有彻底解决问题,因此ARP欺骗蠕虫的危害还是巨大的,要彻底解决必须发现那台出问题的计算机。希望本次故障解决的全过程可以帮助各位IT168的读者开阔思路解决实际问题。
