一号ARP专家详细问诊笔录

    【IT168 专稿】遇到过ARP病毒攻击的信息主管都知道，如果明确了是哪台机子中了ARP病毒，后续操作就相对简单了：立刻拔掉该PC机网线，使用专门ARP专杀软件即可。从之前的ARP病毒机理分析上可以看出，难点就是在如何能快速定位ARP病毒攻击源上。

    当前，不少网络管理员都是在员工反馈时，才得知网络不能正常使用了，延误了ARP病毒的治疗时间。在定位ARP攻击源时，小的公司还能要求每个员工都用查毒软件自查一遍。稍大点的公司，就只能通过对每个网络设备端口插拔网线来一一排查。即使有网管高手，没有一两个小时也很难具体定位是哪台机子在做ARP攻击。

    要想第一时间得知网络异常，用最短的时间定位ARP攻击源，非常好的的手段就是利用网络设备和网管平台的即时告警和网管分析功能。但传统网管软件的高价和防ARP病毒功能缺失，限制了中小型企业部署网管系统。针对于此，H3C发布了Mini IMC智能网管系统，让中小企业仅投资几万元就可以集中管理到最多四十台网络设备、上千台PC终端的网络。同时，H3C还大量丰富了路由器、交换机的WEB网管功能，让仅有几台网络设备的小网络，也同样能即时获得网络异常告警信息，直观显示ARP表的变化情况。

    可能有一些人认为购买网管软件的投入太贵，真对这种误区，我们可以做一个测算。例如，一个300台PC终端的小企业，人均工资2200元。如果从出现ARP病毒，到最终定位到攻击源花费了2个小时，那么仅员工无法正常上网办公造成的工资损失就达：300×2200/22/8×2=7500元。一年出现过几次就差不多够买一套Mini IMC。而2个小时带来业务损失其实远不止这些。可见，在网络应用日益重要的情况下，部署网管系统缩短故障和病毒定位时间是非常有必要的。在仅有几台网络设备的小型网络，采用支持ARP病毒防御WEB网管的路由器、交换机；在有二三十台左右设备的中型网络，采用支持网流异常告警和智能网络分析的网管软件平台，配合ARP病毒杀掉软件，是在ARP病毒事发后快速消除病毒威胁的有效手段。