灵活使用流量监控来进行定位ARP欺骗

　　由于局域网的网络流通不是根据IP地址进行，而是根据MAC地址进行传输。所以，MAC地址在A上被伪造成一个不存在的MAC地址，这样就会导致网络不通，A不能Ping通C!这就是一个简单的ARP欺骗。一起跟着小编来学习：灵活使用流量监控来进行定位ARP欺骗，希望这对大家有所帮助！

　　一、背景介绍

　　小编相信大家都应该经历过，有一些时候网页打开的速度十分的缓慢，有一时候丝毫没有任何的动静，显示没有办法打开网页。不过，在并不是上班的时间，就比如说中午以及晚上等等的休息时间，网络显示一切正常。根据这一种情况的判断，网络硬件故障的可能性微乎其微，经过小编的仔细检查并没有发现任何的异常情况，所以就可以排除了物理上面的错误。这样子看来的话，应该就是软件上面的问题了，小编在脑海里面的第一反应就是目前比较流行的ARP攻击，也就是ARP欺骗。

　　ARP协议的中文名为“地址解析协议”，主要的作用就是用来将网络里面的IP地址解析为硬件地址(也就是MAC地址)，以保证通信的顺利进行。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP以及MAC地址这两者存储在ARP缓存里面。所以在网络中，假如说有人发送一个自己伪造的ARP应答，网络就有可能会出现问题了，这就是小编要说的ARP欺骗，他最为常见的特征就是主机频繁掉线。

　　二、流量监控

　　大家可以看到，这与我们的网络症状十分的相似，但是ARP攻击需要找到它的源头，一般的方法是非常难查找到的。在这个时候，我们就需要在交换机上进行抓包分析，于是小编就找到了IrisNetworkTrafficAnalyzer(接下来的教程里面小编就简称为Iris)。Iris，这是一款网络流量分析监测工具，能够直接帮助系统网络管理人员轻易地捕获以及查看用户的使用情况，同一时间检测进入以及发出的信息流，自动进行存储以及统计。相对于其它网络嗅探器，Iris更加易用和人性化，以多元化的模块满足不同层次用户的需求，是网络管理人员和分析人员的必备工具。这一款应用程序的图标非常像一只眼睛，看来“火眼金睛”是找到了，现在我们就需要花一些工夫怎么使用好它了!

　　由于这一个教学楼的交换机是一台非网管型交换机，于是小编就只好拿着笔记本电脑在网络设备房“蹲点”。把笔记本电脑连接在交换机端口上面，然后就打开Iris，具体的界面显示如下图所示：

　　大家可以看到，这依旧是我们最熟悉的典型Windows软件风格，使用鼠标单击开始捕获按钮，Iris就会开始工作了，对数据包实施抓捕。Iris对于数据包抓捕的同一时间能够直接对他进行相对应的分析，使用鼠标点击某一个时刻的数据包在快速分析窗口中查看解析内容。在Statistics(也就是统计表)窗口里面，我们能够直接浏览实时数据统计图，对Protocol(也就是网络协议)、SizeDistribution(数据包大小分类)、TopHosts(最高流量主机)以及Bandwidth(带宽)进行直接查看。

　　不一会的时间，“凶手”就已经出现了!Iris捕获窗口出现了大量的ARP数据包，Protocol(网络协议)图表显示出来的ARP数据包正在不断的增长!整一个网络的流量一下子就加大了好几倍!具体的数据如下图所示：

　　为了分析变得更加的方便，于是小编就使用了Iris的Filters(也就是过滤)功能，将ARP以及ReverseARP这两种类型的数据过滤出来。终于，小编找到了ARP欺骗的真凶了，在捕获窗口里面能够直接看到，全部的ARP数据包源都是来自MAC地址为00:0A:E6:98:84:87的计算机，小编终于可以掌握罪证了!换一句话来说，也就是找到这一个MAC地址的计算机就能够直接铲除祸根了!具体的捕获窗口如下图所示：

　　接下来的工作相对来说就非常的简单了，首先小编先拿出平时记录好的“MAC-IP-计算机名”对应表，找到真凶计算机，对这一台计算机进行断网、系统重装、查杀病毒等等操作，当确认安全以后，再连接上网。网络又恢复到了往日的宁静，学校的正常教学秩序总算得到了保证。

　　这样子看来，利用网络分析软件解决网络故障，往往是能够直接起到事半功倍的效果。小编希望这一个案例对于一些网络管理的朋友解决类似故障有所帮助哟！

　　小编结语：

　　今天的认证教程，大致介绍如此，希望能助您在学习思科认证的道路上一臂之力，能让你更稳更好更快的走在学习Cisco的路上。