网络排错与案例分享课件.pptx

1、网络故障排错 杭州迪普科技有限公司引言有人的地方就有江湖，有江湖的地方就有恩怨那么同样有网络存在的地方也就有故障发生面对看不见摸不着的网络环境，网络故障排错也是有技巧和方法的网络不会有无缘无故的故障网络不会有解决不了的问题网络故障的分类网络故障按照性质可分为物理故障和逻辑故障。物理故障通常指由网络硬件或网络连接引起的网络故障。网络硬件设备或线路的损坏、接触不良、接头松动、线路受到严重电磁干扰等情况均会引起网络物理故障。物理故障通常表现为一段网络连接不通或时断时通，可以通过观察网络设备的指示灯或通过测量仪器的测量来检验。逻辑故障通常指由软件引起的网络故障，最常见的是由配置不当引起的网络故障，如网

2、卡的参数配置、路由器及交换机的配置、计算机中协议的配置等均可能引起网络故障。一些网络服务进程或端口关闭或者计算机病毒、网络攻击也可能会引起网络故障。网络故障检测及排除的基本过程 1网络故障问题记录与描述网络故障问题记录与描述在网络运行期间，应记录网络的运行状况。一旦发生网络故障，应该了解并记录网络故障表现出来的现象。这些现象通常包括：哪些用户使用网络的哪些服务时出现故障，是速度降低还是不能访问，是时断时续还是连续出现故障，等等。对网络故障的现象尽可能描述详细。2网络故障原因分析网络故障原因分析在记录故障现象以后，应收集与网络故障排除相关的信息，包括网络的拓扑结构、网络是否发生了改变、是否有其他

3、用户使用网络时也发生了故障、故障发生期间计算机在进行什么操作等，同时还可以从网络管理系统、网络分析设备中收集相关信息。根据收集到的故障及相关信息，分析可能引起故障的因素。按照层次模型分析，在各个不同层次引起网络故障的原因通常有：(1) 物理层：线路或接头连接。(2) 数据链路层：交换机的配置或交换机(或HUB)的连接结构。(3) 网络层：网络协议的配置或路由器的配置。 (4)传输层：网络拥塞等。 (5)应用层：应用软件自身的缺陷、应用协议不完整，还需要考虑到病毒的侵犯、网络攻击等影响。在故障原因分析过程中，应充分利用每一条信息，尽可能缩小引起网络故障的目标范围。3建立排除故障计划，按照计划排除

4、故障并记录建立排除故障计划，按照计划排除故障并记录根据对网络故障的分析所确定的可能故障点，制定一套完整的故障排除方案。通常应从最容易引起故障的地方入手，或从最低层次入手，从简单到复杂，逐步排除故障。按照制定的方案，做好每一步的测试和观察，并且做好记录，直到故障排除。如果故障没有排除，应恢复到故障的原始状态，重新分析。系统化排错思想系统化排错思想综述单体故障还是网络整体故障分层排错系统化排错思想综述一个系统化的故障处理思路是合理地一步一步找出故障原因并解决的总体原则，工程师应向自己提出下述问题： 目前处于什么状况？弄清故障处于什么状态是一个起码的要求。 如何排除一些假象，从而定位导致偏差的真正原

5、因？ 应该得到什么预期的结果？我们真的知道自己操作后应得到什么结果吗? 导致结果的偏差有哪些可能？系统化的排错思想 单体故障还是网络整体故障？ 日益复杂的网络应用环境对网络的维护提出了更多的要求。例如病毒的攻击即使目标不是网络设备，也可以导致网络设备的CPU占用率过高，从而影响业务处理的性能。 所以在故障处理中，不论对于连通性的故障还是性能上的问题，全面系统地了解网络故障情况是一个重要的要求。分层排错思想这里的分层与OSI的七层标准一致。故障往往是因为用户无法使用某个网络应用而发觉的，但造成应用故障的原因可能发生在任何层次上。分层的思想有助于工程师将精力放在正确的关注点上。1物 理 层2数据链

6、路层4高 层3网 络 层负责介质的连接u 主要关注：介质类型、速率、双工模式、接口号、连接插座或端口 分层排错思想1物 理 层2数据链路层4高 层3网 络 层负责链路层协议、物理寻址等二层协议u 主要关注：MAC地址、STP状态、STP根桥、端口速率、VLAN、Etherchannel配置、封装、中继状态、接口类型、端口安全等 分层排错思想1物 理 层2数据链路层4高 层3网 络 层负责地址寻址、三层路由协议等u 主要关注：地址和子网掩码是否正确，路由协议配置是否正确。排除时沿着源到目的地的路径查看路由表。同时检查接口的IP地址分层排错思想1物 理 层2数据链路层4高 层3网 络 层负责端到端

7、的数据传输u 主要关注：网络终端的高层协议（、Telnet、WWW、等应用层协议），以及终端设备软硬件运行良好分层排错思想排查流程图 基本故障排查思路 搜集有助于查找故障原因的详细信息 确定排错范围 排查网络设备的硬件故障 排查病毒攻击引起的故障 排查网络设备配置错误引起的故障 循环进行故障排查过程搜集有助于查找故障原因的详细信息要想对网络故障做出准确的分析，首先应该了解故障表现出来的各种现象，因此工程师要搜集如下一些信息： 网络故障表现形式（故障影响的用户范围）? 网络结构或配置是否最近修改过？即问题出现是否与网络变化有关？ 与网络正常情况下的记录进行比较的结果。 根据故障描述性质，使用各种

8、工具搜集网络情况，如相关网络命令、协议分析软件等。 确定排错范围利用收集到的数据，并根据自己以往的故障处理经验和所掌握的的知识，确定一个排错范围。这样就只需注意某一故障或与故障情况相关的那一部分设备、介质和主机。确定排错范围的常用处理方法有如下几类： 分段法 分层法 分块法 替换法 确定排错范围（分段法）在确认用户网络故障点时，分段故障处理法是工程师优先采用的方法，也是高效的方法，我们通常使用PING命令来判定一些关键信息 ： 主机到自身所在网段网关三层设备LAN接口的这一段是否可PING通。 主机到出口路由器LAN/WAN接口的这一段是否可PING通。 出口路由器到ISP运营商接口的这一段是

9、否可PING通。 主机到ISP运营商接口的这一段是否可PING通。 注意：目前从安全因素考虑，许多网络设备启用了禁 PING功能 ，此时会误导对故障的分析，请各位工程师留意！确定排错范围（分层法）当OSI模型的所有低层结构工作正常时，它的高层结构才能正常工作。在确信所有低层结构都正常运行之前，解决高层结构问题完全是浪费时间。 各层次常见故障的关注点 ： 物理层：线缆、连接头、网络接口。 数据链路层：接口封装模式的不一致是最常见原因。 网络层：地址和子网掩码配置错误；网络中的地址重复；路由协议。 传输层：NAT工作是否正常？应用软件使用的TCP/UDP端口是否受到屏蔽? 确定排错范围（分块法）当

10、出现一个故障现象时，可以把它归入上述某一类或某几类中，从而有助于缩减故障定位范围： 管理部分（设备名称、口令、服务、日志等） 端口部分（地址、封装、速率/双工模式等） 路由协议部分（静态路由、浮动路由等） 接入部分（主控制台、Telnet登录等） 其他应用部分（NAT配置、VPN配置、安全配置等） 确定排错范围（替换法） 在检查硬件是否存在问题时最常用的方法。例如：当怀疑是网线问题时，更换一根确定是好的网线测试。当怀疑是用户PC问题时，更换一台确定是好的PC测试。当怀疑是接口模块有问题时，更换一个其他接口模块测试。 确定排错范围（故障细化）实际故障排查中，工程师可根据实际情况灵活使用各种排查方

11、法，使用各种排查方法的目的要将故障可能的原因所构成的一个大集合缩减（或隔离）成几个小的子集，从而使问题的复杂度迅速下降。通过上述几种方法，常见网络故障细化为四类： 用户终端问题（网络配置错误、网卡异常，系统异常，应用程序工作异常等） 服务器问题（网络配置错误、网卡异常，系统异常等） 网络设备问题（硬件故障、网络设备软件故障、配置问题等） 外界因素（出口带宽、病毒攻击等）基本故障排查思路 排查网络设备的硬件故障（初次开箱使用）可能发生的故障点：硬件无法启动：电源电压不稳/未供电、设备供电模块损坏等。死机时：软件问题、电源电压不稳、设备供电模块损坏、机房环境恶劣等。设备自检失败：软件自身故障、存储

12、器故障等。网口通讯不正常：网口硬件故障、网线等。第26页基本故障排查思路 排查网络设备的硬件故障（投入使用后）此阶段的硬件故障除人为造成的硬件损坏外，可能是由以下几方面引起： 电源、接地和防护方面不符合要求，在有电压漂移或雷击时造成设备损坏。 线路质量不好，线路老化易受到干扰或线路中断。 中间传输设备硬件故障（光端机，ADSL MODEM）。 环境的温湿度、洁净度、静电等指标超出使用范围。在故障定位的过程中，可把不必要的相连设备先去掉，缩小故障定位的范围，从而有利于快速准确地定位故障。第27页基本故障排查思路排查病毒攻击引起的故障网络环境的日趋复杂，病毒攻击已经成为网络排错和维护不得不考虑的因

13、素。在目前的SME网络环境中，病毒主要造成两种类型的故障： DDOS类型的病毒主要造成用户访问外网时速度缓慢或频繁掉线。 ARP欺骗类型的病毒主要造成一个网段，确切的说是在同一个VLAN内的用户无论访问内部网络资源还是访问外部网络时，都会出现网络频繁掉线或中断。第28页基本故障排查思路排查网络设备配置错误引起的故障 在网络设备初次部署中，出现网络设备功能与预期规划不一致时，在排除物理故障后，首先判断设备配置是否正确。 网络使用过程中，用户反馈故障产生前修改过设备配置或调整过网络拓扑时，在排除物理故障后，首先判断设备配置是否正确。判断配置问题最有效的方式：在网络设备上执行SH RUN 命令，捕获

14、设备的当前运行信息，并分析诊断；如果用户有故障前的设备配置信息，可以对比分析。对配置准确的分析要求各位工程师对协议有精深的理解；充分了解自己目前维护的网络与网络设备；及时进行故障处理的文档记录和经验总结。第29页基本故障排查思路 循环进行故障排查过程 根据所列出的可能故障原因制定排查计划，分析最有可能的原因后，确定一次只对一个变量进行操作。对某一原因执行了排错方案后，需要判断问题是否解决？是否引入了新的问题？如果没有解决问题，那么就需要再次进行到故障排查过程。进行下一循环排错之前必须做的就是将网络恢复到实施上一方案前的状态。循环排错可以有两个切入点： 当针对某一可能原因的排错方案没有达到预期目

15、的，循环进入下一可能原因制定排错方案并实施。 当所有可能原因列表的排错方案均没有达到排错目的，重现故障环境，收集相关信息以分析新的可能原因。第30页定位网络问题时如何提问？ 定位网络问题时如何提问？多数情况下，你会听到客户这样的求助，他说出了一个常见问题，但又没有该问题产生原因的任何信息。例如，客户说：“我的机器不能够访问FTP服务器了”。 这时你会怎样处理？定位网络问题的过程，实质上是不断提出问题的过程(问客户或问自己)。第31页定位网络问题时如何提问？ 定位网络问题时如何提问？提问通常应以这样一个顺序进行：谁出了问题？是什么问题？问题何时发生的？何处发生的故障？第32页定位网络问题时如何提

16、问？ 谁出了问题？ 是单个用户、一组存在共性的用户还是网络中的所有用户？ 对于单个用户的问题，下一步提问可能应关注下列方面：物理层问题，包括连接该用户的网络电缆问题；该特定主机上的硬件问题；该特定主机软件问题，尤其网络协议方面的问题；该特定主机的IP地址或子网掩码问题；默认网关问题；第33页定位网络问题时如何提问？ 谁出了问题？ 对于一组用户问题或所有用户问题，下一步提问可能应关注下列方面：网络设备问题，比如路由器或交换机；路由器接口问题；服务器问题；访问列表设置问题；VLAN配置问题；第34页定位网络问题时如何提问？ 是什么问题？ 是连通性问题，还是性能差的问题？如果是连通性问题，是完全连通

17、性问题？还是部分连通性问题？ 完全连通性问题，下一步提问可能应关注以下方面：硬件故障；远程通信服务故障；路由协议故障；第35页定位网络问题时如何提问？ 是什么问题？ 是部分连通性问题，下一步提问可能应关注以下方面：访问列表问题；子网掩码问题；路由协议不兼容问题；是性能问题，下一步提问可能应关注以下方面：网络拥塞；路由环路；非最佳路由；第36页定位网络问题时如何提问？ 问题何时发生的？ 是间歇性问题，还是经常发生的问题，或者是刚刚发生的问题？间歇性问题，下一步提问可能应关注以下方面：网络拥塞或广播风暴；路由环路；远程通信服务故障；网络介质质量差第37页定位网络问题时如何提问？ 问题何时发生的？

18、刚刚才发生的问题，下一步的提问可能应关注下列方面：新的硬件故障或介质故障；新增设备或拓扑改变；设备重新添加修改了配置；路由协议是否发生变化；第38页定位网络问题时如何提问？ 何处发生的故障？ 故障发生在核心区域、汇聚区域还是接入区域？核心区域的故障，下一步的提问可能应关注下列方面：路由协议状态变更；重新进行路由引入； 汇聚区域的故障，通常是与访问列表，路由有关。接入区域的问题，则可能和上述问题都有关系。第39页常用网络检测命令及使用1ping命令命令ping命令用来确定两个网络设备之间能否连通，利用ping命令可以排除网卡、Modem、电缆和路由器甚至TCP/IP协议配置等存在的故障。 pin

19、g命令只有在安装了TCP/IP协议以后才可以使用。运行ping命令以后，在返回的屏幕窗口中会返回对方客户机的IP地址和表明ping连通对方的时间。如果出现信息“Reply from”，则说明能与对方连通；如果出现信息“Request timeout”，则说明不能与对方连通。用ping命令测试连通性的示意图如图所示。2tracert命令命令从本地计算机到目的计算机的访问往往要经过许多路由器，为了跟踪从地本计算机到目的计算机的路径，可以使用tracert命令。tracert命令用来显示数据包到达目标主机所经过的路径，并显示到达每个节点的时间。tracert命令通过将递增“生存时间 (TTL)”字段

20、的值的报文向目标主机发送，从而确定到达目标主机的路径。所显示的路径是源主机与目标主机间路径上的路由器的近侧接口列表。近侧接口是距离路径中的发送主机最近的路由器的接口。tracert命令格式：tracert -d -h MaximumHops -j HostList -w Timeout TargetName3netstat命令命令netstat命令可以帮助了解网络的整体使用情况。它可以显示当前正在活动的网络连接的详细信息，可以统计目前总共有哪些网络连接正在运行。具体地说，netstat命令可以显示活动的 TCP 连接、协议端口使用情况、网络接口统计信息、IP路由表、IP统计信息(对于IP、IC

21、MP、TCP和UDP协议)。netstat命令的格式如下：netstat -a -e -n -s -p protocol -r interval使用时如果不带参数，netstat命令显示活动的TCP连接，如图所示。参数说明：(1) -a：显示所有有效连接的信息，包括已建立的连接(ESTABLISHED)，也包括监听连接请求(LISTENING)的那些连接，以及计算机侦听的 TCP 和 UDP 端口。(2) -e：显示关于以太网的统计数据。它列出的项目包括传送的数据报的总字节数、错误数、删除数、数据报的数量和广播的数量。这些数据既有发送的数据报数量，也有接收的数据报数量。该选项可以用来统计一些基

22、本的网络流量，并可以与选项 -s 结合使用。(3) -n：显示所有已建立的有效的TCP连接，但只以数字形式表现地址和端口号，却不尝试确定名称。 (4) -s：分别显示各个协议的统计数据，默认情况下显示TCP、UDP和IP协议的统计信息。如果应用程序(如Web浏览器)运行比较慢，或者不能显示Web页之类的数据，我们就可以使用该选项来查看一下所显示的信息。-p选项还可以用来指定协议集。(5) -p Protocol：显示 Protocol 所指定的协议的连接。在这种情况下，Protocol 可以是 TCP或UDP。如果该选项与选项 -s 一起使用来显示协议的统计信息，则 Protocol 可以是T

23、CP、UDP或 IP。(6) -r：显示本机路由表的信息。4. ipconfig命令命令ipconfig命令可用于显示本计算机当前所有的 TCP/IP 网络配置值，这些信息一般用来检验人工配置的TCP/IP设置是否正确。另外，ipconfig还可以刷新动态主机配置协议 (DHCP) 和域名系统(DNS)的设置。Ipconfig的命令格式如下：ipconfig /all /renew Adapter /release Adapter /flushdns /displaydns /registerdns /showclassid Adapter /setclassid Adapter ClassI

24、D使用不带参数的ipconfig命令可以显示所有适配器的 IP 地址、子网掩码和默认网关。参数说明：(1) /all：显示所有适配器的完整TCP/IP配置信息。在没有该参数的情况下，ipconfig只显示 IP 地址、子网掩码和各个适配器的默认网关值。适配器可以代表物理接口(例如安装的网卡)或逻辑接口(例如拨号连接)，如图所示。(2) /renew Adapter：更新所有适配器(不带Adapter参数)或特定适配器(带有Adapter 参数)的 DHCP 配置。该参数仅在具有配置为自动获取 IP 地址的网卡的计算机上使用。要指定适配器名称，使用不带参数的ipconfig命令显示的适配器名称。

25、使用该命令，将释放当前的IP地址租约并重新向DHCP租用一个IP地址。(3) /release Adapter：释放所有适配器(不带Adapter 参数)或特定适配器(带有Adapter 参数)的当前 DHCP 地址租约。该参数可以禁用配置为自动获取 IP 地址的适配器的 TCP/IP。要指定适配器名称，使用不带参数的ipconfig命令显示的适配器名称。(4) /flushdns：清理DNS缓存的内容。(5) /displaydns：显示DNS缓存的内容，包括从本地主机文件预装载的记录以及由DNS解析而最近获得的任何资源记录。(6) /registerdns：初始化计算机上配置的 DNS 名

26、称和 IP 地址的手工动态注册。可以使用该参数对失败的DNS名称注册进行查找或解决客户和 DNS 服务器之间的动态更新问题，而不必重新启动客户计算机。TCP/IP 协议高级属性中的 DNS 设置可以确定 DNS 中注册了哪些名称。5route 命令命令route命令用来显示、添加和修改计算机中路由表的表项。计算机要访问Internet通常要通过路由器连接，在对TCP/IP协议进行配置时，需要指定默认网关，默认网关即计算机连接的路由器的IP地址。有些情况下，一个计算机所在的网络可能连接了两台或多台路由器，到不同的目的IP地址可能要通过不同的路由器来转发。在这种情况下，需要在计算机的路由表中设置路

27、由表项。route命令的格式如下：route -f -p command destination mask netmask gateway metric metric参数说明：(1) -f：清除所有不是主路由(子网掩码为255.255.255.255的路由)、环回网络路由(目标为127.0.0.0，子网掩码为255.255.255.0的路由)或多播路由(目标为224.0.0.0，子网掩码为240.0.0.0的路由)的路由表表项。如果它与命令(例如add、change或delete)结合使用，会在运行命令之前清除上述路由表的表项。(2)-p：与add命令共同使用时，指定路由被添加到注册表并在启动

28、TCP/IP协议的时候初始化IP路由表，默认情况下，启动TCP/IP协议时不会保存添加的路由，与print命令一起使用时，则显示永久路由列表。永久路由存储在注册表中的位置是HKEY_ LOCAL_ MACHINE| SYSTEM| CurrentControlSet| Services| Tcpip| Parameters |PersistentRoutes。 (3)command：指定要运行的命令，常用命令有print、add、change和delete。Print命令用来显示计算机中路由表的表项。如果使用静态IP地址配置网卡，计算机中路由表的表项是自动添加的，如图所示；add命令用于将新的

29、表项添加到路由表中；change命令用来修改路由表的表项；delete命令用来删除路由表的表项。Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。在某运营商局点进行旧网改造遇到的问题，原因很简单，有的时候问题的表象需要仔细的排查去才能论证。在这里也分享下自己的一个排查思路，希望对大家有帮助。先看下原网络的拓扑图吧见下图：涉及我司设备为【FW-A】与【FW-B】，防火墙为透明双机，双主模式，中间的心跳线仅仅作为同步配置来用，不走任何

30、其他数据。下联交换机也是二层，【服务器A与B】的网关为【核心1】提供的VRRP虚拟地址，整网为一个大二层的组网。现在用户希望新增上联一个【核心2】下联【SW-C、SW-D】，上下联为三层组网，防火墙要对【服务器C与D】做NAT映射，同时不能影响原有的服务正常运行。改造后的拓扑如下：防火墙对上联和下联均启用VRRP，防火墙上联的VRRP心跳报文走核心2之间，下联的VRRP报文走新增交换机，新增交换机也启用VRRP。防火墙上下联的口均为三层物理口。以上为组网环境下面来梳理一下配置没有新增前【防火墙-A与B】将到【核心1】与【服务器A与B】的接口加入一个VLAN里，同时为了方便管理防火墙，防火墙VL

31、AN上配置跟服务器同一网段，默认路由网关也是【核心1】新增后保持原因接口VLAN、安全域不变修改默认路由为【核心2】，增加回程路由到新增的【SW】虚拟地址。增加上下联接口的VRRP策略出现问题：新增的交换机接入后，导致原有的下联服务A业务不通。排查过程：新增为三层物理口，就算是新增的下联服务器C，D出现环路与攻击，也不会波及到原有的业务正常传输。VRRP的策略也是是针对正确的接口进行下发的。由于割接时间是中午，为保证业务正常，最后对防火墙配置进行了还原。后来于当晚凌晨再次进行割接上线，为排除下联环路问题，单链路接入，仍有该情况发生。1、去除该单链路，故障仍然复现。2、再次检查割接后的每一个配置

32、与割接前的不同。3、发现：只有默认路由的配置与原有配置的相关。4、还原默认路由，故障消失。5、为确保确实是该问题，删除所有配置，不接如任何新增的链路，仅仅是删除默认路由，故障复现！OK，那就是防火墙的默认路由的问题了，与新增链路无关。6、配置防火墙的默认路由仅仅是为了VLAN桥接地址管理用途，怎么会影响到下联的业务，并且下联业务当时规划的也是一律配置【核心1】的虚拟地址为网关的。7、确认好原因所在后，经过仔细的分析，只有一种可能，就是下联业务系统的网关配置的为防火墙的桥接VLAN的IP地址，它们的所有跨网段的数据都经过防火墙进行了一次跳转。经过模拟器配置，也证实了该现象。8、与用户进行汇报，经

33、过用户核实，下联确实是网关配置错误。后续修改后，无故障复现。以上就是，排查的过程，原因很简单，但带来的麻烦却很大，尤其是影响现网业务，面临的压力也是很大，冷静分析，反复论证、逐步排除才是解决之道，希望对各位有帮助。局域网局域网ARP攻击解决案例与攻击解决案例与ARP解决办法解决办法基本定义基本定义ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的进行。ARP（AddressResolutionProtocol）是地址解析协议，是一种将IP地址转化成物理地址的协议。从IP地址到物理地址的映射有两种方式：表格方式和非表格方式。ARP具体说来就是将网络层（IP层，

34、也就是相当于OSI的第三层）地址解析为数据链路层（MAC层，也就是相当于OSI的第二层）的MAC地址。ARP攻击的局限性ARP攻击仅能在以太网进行。无法对外网（互联网、非本区域内的局域网）进行攻击。受攻击表现受攻击表现ARP欺骗木马的中毒现象表现为：使用局域网时会突然掉线，过一段时间后又会恢复正常。比如客户端状态频频变红，用户频繁断网，IE频繁出错，以及一些常用软件出现故障等。如果局域网中是通过身份认证上网的，会突然出现可认证，但不能上网的现象（无法ping通网关），重启机器或在MS-DOS窗口下运行命令arp -d后，又可恢复上网。ARP欺骗木马只需成功感染一台电脑，就可能导致整个局域网都无

35、法上网，严重的甚至可能带来整个网络的瘫痪。该木马发作时除了会导致同一局域网内的其他用户上网出现时断时续的现象外，还会窃取用户密码。如盗取QQ密码、盗取各种网络游戏密码和账号去做金钱交易，盗窃网上银行账号来做非法交易活动等，这是木马的惯用伎俩，给用户造成了很大的不便和巨大的经济损失。基于ARP协议的这一工作特性，黑客向对方计算机不断发送有欺诈性质的ARP数据包，数据包内包含有与当前设备重复的Mac地址，使对方在回应报文时，由于简单的地址重复错误而导致不能进行正常的网络通信。一般情况下，受到ARP攻击的计算机会出现两种现象：1.不断弹出“本机的0-255段硬件地址与网络中的0-255段地址冲突”的

36、对话框。2.计算机不能正常上网，出现网络中断的症状。因为这种攻击是利用ARP请求报文进行“欺骗”的，所以防火墙会误以为是正常的请求数据包，不予拦截。因此普通的防火墙很难抵挡这种攻击1 1、组网拓扑、组网拓扑2 2、现象、现象以负载均衡的典型旁路为例子图中两台ADX旁路部署，提供服务器负载均衡，对客户端提供虚拟地址，两台冗余的服务器被虚拟为3.3.3.3的地址客户端访问虚拟地址服务均正常，但在ping虚拟地址与设备接口地址时均会出现间歇性丢包现象，如下图：针对该现象需要对ADX设备接口端进行抓包分析，客户端进行发起ping，然后设备接口进行抓包，客户端有丢包出现，设备端立刻停止抓包，找出错误的目

37、的MAC地址如下图可以看到在众多相同目的MAC中，有错误目的MAC地址3、解决办法4、策略后效果 局域网局域网ARP预防小预防小技巧技巧 目前防护局域网中ARP木马病毒最有效的方法是通过网关和终端双向绑定ip和mac地址来实现，但是这种方法还是不能有效的阻止ARP对局域网的攻击，原因何在？其实最重要的原因是在我们发现ARP病毒并设置双向绑定时，ARP病毒早已更改了本地电脑的MAC地址，从而导致绑定无效。 另一方面就是人为的破坏，比如说局域网中有人使用P2P终结者等诸多情况，都可能导致局域网中充斥着大量的ARP包，这些都将会导致网络性能的下降。针对这些问题，我们应该如何面对和解决呢？第一，做好第

38、一道防线，实现网关和终端双向绑定IP和MAC地址。针对局域网中的每一台计算机利用“IPCONFIG”命令获取本机IP和MAC地址，并将该信息添加到路由器ARP映射表中。同时通过查看路由器的LAN口参数获取其IP和MAC地址，然后在局域网中的每台计算机上实现静态ARP绑定。具体做法是：打开“运行”对话框，输入CMD进入MSdos界面，通过IPCONFIG命令获取本机的IP地址和MAC地址。然后打开浏览器，输入路由器的地址，进入路由器配置界面，在界面中定位到ARP与IP地址绑定位置处，设置“单机的MAC地址和IP地址的匹配规则”，指定局域网中各个计算机的IP地址和其对应MAC地址实现绑定。第二，通

39、过“网络参数”-“LAN口参数”来查找路由器的MAC地址和IP地址，然后在局域网中的每台电脑中实现静态ARP绑定。具体做法：打开“运行”对话框，输入CMD进入MSdos界面，然后通过输入如图所示的命令实现网关IP地址和MAC地址的绑定。第三，付出少需的代价换来局域网的长久平静。打开安全防护软件的ARP防火墙功能。第四，斩草除根，彻底追踪查杀ARP病毒。利用局域网ARP欺骗检测工具来确定ARP攻击源，然后利用ARP专杀工具进行杀毒。查找并定位到攻击源地址以后，在相应的计算机上安装ARP专杀工具进行查杀操作。例如，当我们的机子受到ARP攻击时，我们查到了攻击源的MAC地址，将该MAC地址与路由器当中的ARP映射表进行对比来确定攻击源主机，然后对该主机进入ARP的查杀工作。