［故障現象］

筆者單位的局域網采用CISCO catayst 5505交換機總共劃分4個VLAN，VLAN之間的數據交換通過CISCO 4500路由器來進行路由交換，己經正常運行兩年之久。但最近一段時間以來，出現了比較少見的故障。

網絡時斷時續的情況非常嚴重，并且不斷報告計算機的IP地址沖突問題；筆者重點檢查了5505交換機的ARP表，情況如下：



（1）CISCO 5505交換機的ARP表只有6～8條記錄，而它直連的計算機有60臺，4500路由器的ARP表卻有20多條。

（2）網絡中有40 臺計算機主要是安裝 Novell的協議，連接Netware的服務器，工作正常；安裝TCP／IP協議的計算機之間 ，Ping的結果是時斷時續，Ping不通的計算機卻可以通過“查找計算機”找到。

（3）能夠Ping通的IP地址，在5505交換機的ARP表中卻沒有對應的記錄，需要直接在5505交換機中 Ping此IP地址才會產生 ARP表；但有的IP地址存在于 ARP表，卻 Ping 不通，并且存在兩臺計算機的MAC地址相同這樣的奇怪現象（這可能是造成IP地址沖突的原因）或者計算機具有錯誤的MAC地址。
（4）在ARP表中，有的IP地址對應的MAC地址雖然正確，但是其對應的5505交換機端口（如2／1）又不正確，莫名莫妙地指定到了另外的一個MAC地址或另外的不正確的端口上去。

（5）ARP的Asins Time筆者設定為3600 Sec，但IP—MAC地址不到10min就會清除幾個，總共5505交換機的ARP表中才6個。

（6）用戶反映在上班以前的網絡沒有什么問題，但一到上班之后（總共200 臺計算機）問題就比較多了。

（7）交換機的SC0口有時能登錄，有時不行。

診斷過程

因為網絡原來通過5505交換機分為4個VLAN， 各自的網絡范圍均不一樣，通過路由器來進行VLAN交換5505交換機連接在網絡的時候有IP地址沖突現象。為了驗證是否5505交換機的問題，筆者將5505交換機替換下來，用了幾臺 CISCO 2924．D一Lnk1024交換機進行級聯替換上去。但是意想不到的事情發生了：網絡中IP地址沖突現象嚴重，許多計算機互相Ping不通，不能進行通信，但是Novell網的客戶端和服務器通信正常（200臺左右的計算機沒有劃分V L A N）

筆者將CISCO 5505交換機的板卡、內存、模塊進行了檢查維護，并對5505進行了重新配置再接入局域網。

同時，筆者對網絡中的VLAN進行了調整，設置為3個VLAN的網絡，另一個VLAN（懷疑有問題的網絡）使用一臺D—Link交換機連接。進行測試。



筆者將認為有問題的VLAN單獨分離后，其他接CISCO  5 5 0 5交換機的3個VLAN作正常，包括通過 CJSCO 4500 路由器進行 VLAN之間的路由也正常，但是將認為有問題的VLAN（50臺左右的Novell客戶機、50臺左右的Windows 98客戶機）接入CISCO 5505交換機（備注：在接入這些計算機后此VLAN會增加20臺左右的計算機，包括SUN服務器，原來這些計算機與SUN服務器通信是正常的，此VLAN總共為 120臺）1～2h以后，就開始出現所有的客戶機（包括原來的20臺計算機）訪問SUN服務器時斷時通的現象。

于是筆者又將這 100臺計算機的交換機從CISCO 5505交換機上斷開，原來的20臺計算機就可以與SUN服務器通信了。

筆者認為故障應該不在5505交換機上面，因為出問題的VLAN己經單獨換出來，并用幾臺CISCO 2924交換機和D—Link 1024交換機級聯在一起組成一個網絡，網絡中這100臺左右的計算機包括SUN服務器、Novell服務器、Novell客戶機、Windows 98客戶機。

Novel服務器和Novel客戶機工作正常 ；

Windows 98客戶機Ping SUN服務器時通時斷；

Windows98客戶機之間Ping也是時通時斷

Windows 98客戶機可以通過“查找計算機”找到另外的Windows 98計算機 :

筆者通過查看IP地址分配表，發現網絡中IP地址并沒有重復，但還是沖突不斷，無論換什么IP地址都是這樣Ping還是時通時不通。

從以上的種種現象分析，基本可以認為是某些計算機在產生大量的數據包，占用了大量的網絡和系統資源。

在逐個排查客戶機的時候，發現有一臺計算機啟動的時候，屏幕上會出現提示該機的IP地址與某個硬件地址沖突（MAC： 00 ：10：5C：AF：CF： 45）。不管改成什么IP地址都會出現lP地址）沖突。接下來發現幾乎所有客戶機都提示與上述MAC地址沖突 ，但是暫時無法確定這個MAC地址的來源

筆者通過監測軟件，看到IPX協議包Talker是廣播包（Broadcast）：IP協議包的Taker是l92. 168．0．255. 192. 168．255．255. 192. 255. 255. 255等，但從通信量 Top10 Host來看，沒有什么大的數據包。

用Fluke的協議診斷軟件Protocol InsPector進行了5h的監測，終于發現有一臺計算機在向一個外部Internet IP地址發送大量的UDP數據包。筆者將這臺計算機進行了隔離測試 結果發現網絡恢復正常。將這臺計算機接上，網絡開始不正常。因此，確認是此臺計算機的問題。

對此計算機進行了封存檢查，發現發送大量廣播包是一個虛假現象。真正原因是該計算機上的一個類似“黑客軟件”的軟件在網上發送數據量很小的ARP包，將網絡上交換機中的近200個IP地址的MAC地址都改成一個同樣的MAC地址，造成其他計算機一開機就會出現IP地址沖突，無論改此網段的什么IP地址都會提示沖突，SUN服務器的ARP緩存當中的MAC地址也被修改造成無法正常工作。由于此軟件不會修改IPX的MAC地址，因此Novell網絡沒有受到影響。


排除心得估計是由于這臺計算機的用戶上網時不小心下載了這個軟件，一段時間后，開始作用并破壞網絡通信。此種攻擊方式數據量小，攻擊時間不定，MAC地址隱匿、開機時間也不確定，真是防不勝防，局域網的防火墻需要注意隨時升級以避免類似的攻擊行為發生。