流量监测工具让ARP欺骗原形毕露(2)

　　由于该教学楼的交换机是一台非网管型交换机，只好拿着笔记本电脑在网络设备房“蹲点”。把笔记本电脑连接在交换机端口上，打开Iris，界面显示（如图1）。

　　图1

　　依旧是我们熟悉的典型Windows软件风格，单击开始捕获按钮，Iris开始工作，对数据包实施抓捕。Iris对数据包抓捕的同时对其进行分析，我可以点击某一时刻的数据包在快速分析窗口中查看解析内容。在Statistics（统计表）窗口中，我们可以浏览实时数据统计图，对Protocol（网络协议）、Top Hosts（最高流量主机）、Size Distribution（数据包大小分类）和Bandwidth（带宽）进行直接查看。

　　不一会，“凶手”出现了！Iris捕获窗口出现了大量的ARP数据包，Protocol（网络协议）图表显示出来的ARP数据包在不断增长（如图2）！整个网络的流量一下加大了好几倍！

　　图2

　　为了分析方便，用Iris的Filters（过滤）功能，将ARP和Reverse ARP两种类型的数据过滤出来。终于，找到了ARP欺骗的真凶了，在捕获窗口中（如图3）可以看到，有两个假IP地址（0.136.136.16和1.136.136.16），所有的ARP数据包源都是来自MAC地址为52:54:AB:37:0D:B0的电脑，终于掌握罪证了！也就是说，找到这个MAC地址的电脑就可以铲除祸根了！

　　接下来的工作就简单了，拿出平时记录好的“MAC-IP-计算机名”对应表，找到真凶电脑，对其进行断网、系统重装、查杀病毒等操作，确认安全后，再连接上网。网络又恢复了往日的宁静，学校的正常教学秩序得到了保证。