深入解決故障現象
爲了確認ARP病毒是不是最終的故障根源,筆者在局域網的一臺普通工作站中打開MS-DOS窗口,在該窗口的命令行提示符下輸入“arp -a”字符串命令,單擊回車鍵後,筆者發現本地網關設備的物理地址變成了000d-87f8-36d3,這個地址與核心路由交換機上設置的網關真實物理地址完全不同,這說明局域網網絡中果然存在ARP病毒。
那麼局域網中究竟是哪一臺工作站感染了ARP病毒呢?由於單位大樓局域網網絡包含10個VLAN,每一個VLAN下面連接的計算機數量也是不斷處於動態變化之中,因此單純依靠傳統方法很難快速找到感染了ARP病毒的目標工作站系統。想到在組建大樓局域網網絡時,工作人員曾經創建了VLAN數據對照表,從該對照表中網絡管理員能夠快速查詢到每一個VLAN中包含了哪些網絡連接端口,每一個網絡連接端口位於單位的哪一個房間。爲此,筆者打算先找出究竟是哪些VLAN中存在ARP病毒,之後根據查找出來的虛假網關物理地址信息,尋找到感染了ARP病毒的工作站來自特定工作站的哪個端口,最後再查找對照表找到故障工作站所在的房間號碼,最後電話聯繫房間主人隔離殺毒。
由於筆者單位使用的交換機支持診斷功能,於是筆者打算利用該功能尋找局域網中的ARP病毒。筆者先是利用超級終端程序連接到單位核心交換機上,並進入特權模式;在特權模式命令行狀態下,輸入字符串命令“dis dia”(顯示診斷信息),單擊回車鍵後,系統詢問是否要進行診斷操作,爲了能夠查看到所有的診斷信息,筆者在進行回答之前,先依次單擊超級終端界面中的“捕捉”/“捕捉到文本”命令,再設置好診斷信息保存的路徑以及文件名稱,最後單擊“y”(如圖2所示),開始進行診斷檢查,診斷檢查的結果會被自動捕捉保存到指定的文本文件中。
診斷結束後,筆者立即打開指定的文本文件,從中果然看到VLAN61中的網關設備物理地址變成了000d-87f8-36d3。之後,筆者使用telnet命令登錄到VLAN61所在的交換機中,並在命令行提示符下輸入“dis mac”字符串命令,單擊回車鍵後,筆者看到了連接到VLAN61中的所有工作站網卡物理地址,從中筆者發現000d-87f8-36d3地址所對應的工作站連接在VLAN61的e0/9端口上(如圖3所示);爲了防止這臺感染了ARP病毒的工作站繼續影響網絡的正常訪問,筆者立即在對應交換機的後臺管理界面,依次執行字符串命令“inter e0/9”(進入端口修改模式狀態)、“shutdown”(關閉端口),將這臺感染了ARP病毒的工作站從大樓網絡中隔離開來。最後,筆者查看單位的VLAN數據對照表,根據VLAN號碼、端口號碼等信息,尋找到故障工作站是四樓文印室的,打電話聯繫他們,要求他們使用最新版本的殺毒軟件進行殺毒操作,至此ARP病毒終於被揪出來了。
