参考答案1
1.分析过程
(1).判断因果
是什么原因引起的断网?
断网出现的频次?
断网影响的主机数量?
(2).梳理环境
最近网络结构有没有变化
最近终端有没有版本更新
最近网络设备有没有更新
最近执行策略有没有变化
(3).收集现象
网络设备硬件状态
网络设备配置状态
网络流量传输状态
断网主机分布情况
断网主机系统信息
2.进入排查
按突发,一次,临时断网作为确定场景
(1).网络环境检查
检查网络设备指示灯
查看办公室内交换机、路由器等网络设备的指示灯状态。正常情况下,电源指示灯应常亮,网络连接指示灯应有规律闪烁。
如果发现某个设备的指示灯异常,如不亮或闪烁异常,可能该设备出现故障。
检查上联网线连接
如果区域内所有PC都断网,检查的是断网区域与上一级的链接网线,是否正常,最简单的方法是网线直插电脑
如果区域内部分的PC断网,检查几个接入点即可,在实际过程中可以忽略不计,主要是因为基本不会同一时间突然网线都坏检查区域网络设备
如果区域内所有PC都断网,检查上级网线也是正常,就有必要更换一个网络设备用于判断是否是设备问题
如果区域内部分的PC断网,直接将所有断网的主机拔掉,
使用正常的PC机测试一下网络设备接口
检查网络设备配置
查看网络设备配置是不是修改错误
查看网络设备配置是不是配置失效
查看网络设备配置是不是配置冲突
(2).安全环境检查
初步观察现象 ARP 病毒可能会导致大量的 ARP 报文在网络中传播,造成网络流量异常。使用网络工具初步检测使用 ARP PC 上,打开命令提示符(Windows 系统)或终端(Linux 系统)。输入命令 “arp -a”,查看 ARP 缓存表。正常情况下,IP 地址和 MAC 地址的对应关系应该是正确的,并且在局域网内每个IP 地址对应一个唯一的 MAC 地址。如果发现多个 IP 地址对应同一个 MAC 地址,或者一些陌生的 IP 地址和 MAC 地址组合出现在 ARP 缓存表中,这很可能是ARP 病毒的迹象。使用网络监控工具(如 Wireshark)启动网络监控工具,设置过滤条件为 “arp”,对网络中的 ARP 报文进行抓取和分析。正常的 ARP 报文主要是请求和响应报文, ARP 请求报文或者 IP - MAC 地址对应关系(如伪造的 MAC 地址),就可以初步判断存在 ARP 病毒攻击。查看数据包的大小分布,如果在抓包过程中出现大量小碎包也可以初步判断存在 ARP 病毒攻击或者 ARP 地址冲突、未知设备接入等信息。网络流量异常感染ARP病毒的主机通常会不断地向网络中的其他设备发送伪造的 ARP 报文这种-MAC地址组合会导致网络中其他设备的ARP缓存表被污染。基于 IP 和 MAC 地址追踪根据前面 “arp -a” 命令或网络监控工具发现的异常IP - MAC 地址对应关系,结合网络拓扑结构,定位到可能的感染设备。在企业网络中,通常会有 IP 地址分配策略(如DHCP 服务器分配记录等)。通过查找 MAC 地址对应的设备信息(如设备型号、使用部门等),可以缩小感染设备的范围。检查主机系统异常网络连接不稳定主机可能会出现间歇性断网、无法访问网络资源或者网页加载缓慢等情况。这是因为ARP病毒破坏了正常的IP - MAC地址对应关系,导致主机发送的数据包无法正确到达目标设备。例如,用户尝试打开网页时,页面会出现加载超时或者无法显示的情况;或者在尝试访问内部网络共享文件夹时,会出现
接失败的提示。
系统资源占用异常ARP病毒运行时会消耗主机的系统资源,如CPU和内存,这可能会导致主机运行变慢、卡顿。例如,观察到主机的 CPU 使用率长时间居高不下,或者内存占用异常增加,但没有运行明显占用资源的程序。
系统日志中有异常记录主机的操作系统通常会记录一些系统事件,包括网络相关事件。感染 ARP 病毒的主机可能会在其系统日志中出现与 ARP 协议相关的异常记录,如频繁的 ARP 地址解析失败、网络适配器错误等信息。