网络分析软件:ARP病毒爆发了谁干的？

来源：qqread 作者：佚名出处：巧巧读书 2007-12-22 进入讨论组

　　这篇文章源于一个案例：笔者所在地某学校现有机器约310台，其中110台是教师用机，其它的机器为学生用机。一般情况下，只有教师机器上网，学生机只有在上计算机课时，才会开机上网，网络运行一直顺畅。

半个月以前，局域网频繁断网，文件共享、网络打印速、网络传输度突然变得缓慢，甚至失去响应。估计是ARP病毒在局域网爆发了，由于ARP病毒的隐蔽性和欺骗性，于是决定通过网络分析软件进行分析，最终问题得到了圆满解决。下面就把这次分析过程写出来与读者交流。
　
　　写在前面的话：因为局域网的特性，所以了解和判断网络内ARP通信情况很有必要。因为对于可以在网络内传播的病毒，都有一个特性，就是他们都得去发现网内其他的机器，不然攻击从何谈起。当然，要发现整个局域网内的机器是很容易的，只要经过一次ARP扫描就可以发现了。对于这个问题，那么就有人会问了，那样的话，你还能抓到病毒机器发的数据包么？是的，这确实是个问题，但事实表明，现在的网络病毒都不得不频繁的发起ARP扫描，原因如下：
　
　　1、病毒本身技术原因或ARP还有其他某些特性或利用价值。
　
　　2、电脑重新启动后，如校园局域网等，病毒将展开新一轮的攻击 .
　
　　3、其他原因。
　
　　归结为一句话大多数网络病毒都具有ARP扫描或ARP欺骗的特性。正因如此我们就可以通过网络分析软件抓住ARP病毒狐狸的尾巴。
　
　　问题一：怎么判断内网的ARP是否正常？
　
　　网络管理员或者使用电脑有一定时间的人对于网络速度都会比较敏感。当我们发现或怀疑网络出现问题之时，我们先打开网络分析软件（本文以科来网络分析软件为例）捕获ARP数据包，然后对所所捕获的ARP数据包进行分析，可以发现有好多的机器都发起过ARP请求，流量相对大的也有很多，但怎么区分正常的请求和异常的请求呢？
　
　　正常ARP请求：如（图1）所示，我们打开MAC地址为00：14：85：EE：6A：14的主机的数据包，发现其有两个特点：第一个是其数据包出现断层，并没有连续下去，看来其所要的目的已经达成 .第二个是所请求的机器都是为其提供服务和与之有工作关系的机器。由以上两点，可以基本判断，其ARP请求为正常。也就是其电脑可以先放在一边，以后再做考虑。

图1

　
　　非正常ARP请求：如（图2）所示，当我们打开 Realtek Semi：d1：ae：d9的时候，发现其特点正好和图2所示的相反，特点也为两个：第一个是其ARP扫描一直不断，而且频率比较高，当我们查看数据包的时候，其ARP数据还在不断更新当中。第二个是其对所有或大部分的机器都进行ARP请求，连局域网内没用的IP它也不放过（够狠，听说继承“三光‘政策！）基于此，我们就可以得出其为很不正常的ARP请求现象。赶紧去看看它在做什么，或针对性的对其数据包进行分析 .特别强调一点，如果你在单位的局域网中发现了这样的主机，立马把它列为”犯罪嫌疑人“隔离起来，对其进行进一步的征询，搜集更多的”罪证“，直至把它”绳之以法“。