扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
由于该教学楼的交换机是一台非网管型交换机,只好拿着笔记本电脑在网络设备房“蹲点”。把笔记本电脑连接在交换机端口上,打开Iris,界面显示(如图1)。
图1
依旧是我们熟悉的典型Windows软件风格,单击开始捕获按钮,Iris开始工作,对数据包实施抓捕。Iris对数据包抓捕的同时对其进行分析,我可以点击某一时刻的数据包在快速分析窗口中查看解析内容。在Statistics(统计表)窗口中,我们可以浏览实时数据统计图,对Protocol(网络协议)、Top Hosts(最高流量主机)、Size Distribution(数据包大小分类)和Bandwidth(带宽)进行直接查看。
不一会,“凶手”出现了!Iris捕获窗口出现了大量的ARP数据包,Protocol(网络协议)图表显示出来的ARP数据包在不断增长(如图2)!整个网络的流量一下加大了好几倍!
图2
为了分析方便,用Iris的Filters(过滤)功能,将ARP和Reverse ARP两种类型的数据过滤出来。终于,找到了ARP欺骗的真凶了,在捕获窗口中(如图3)可以看到,有两个假IP地址(0.136.136.16和1.136.136.16),所有的ARP数据包源都是来自MAC地址为52:54:AB:37:0D:B0的电脑,终于掌握罪证了!也就是说,找到这个MAC地址的电脑就可以铲除祸根了!
接下来的工作就简单了,拿出平时记录好的“MAC-IP-计算机名”对应表,找到真凶电脑,对其进行断网、系统重装、查杀病毒等操作,确认安全后,再连接上网。网络又恢复了往日的宁静,学校的正常教学秩序得到了保证。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。