徐春林

（扬州工业职业技术学院现代教育技术中心，江苏扬州 225127）

1 问题的提出

1.1 网络环境

本文以扬州某高职院校的网络为背景，该校园网络是基于“核心—接入”的大二层交换网络，使用了“扁平化”网络拓扑结构。接入端使用普联TPLink 701N无线AP，通过超五类线接入楼层中的接入交换机，其中核心交换机为神州数码的DCRS6808，接入交换机为神州数码的DCS3950。网络的拓扑图如图1所示。

1.2 故障现象

核心交换机突然反应迟缓，Ping网关超时严重甚至连续丢包。检查接入交换机，发现接入交换机上所有端口快速闪烁。该接入交换机下的所有用户无法正常上网，其他接入交换机上用户网络网速变慢，甚至丢包中断。将上联光纤拔掉后，其他端口继续快速闪烁，其接入用户仍无法连接因特网。但此时核心交换机恢复正常，其他接入交换机上的用户恢复正常。

初步分析是该接入交换机上有报文泛洪［1－2］，导致其大量发送广播报文，堵塞上联端口，拖慢核心交换机的处理速度。

图1 网络拓扑图Fig.1 Topological graph of fault point

2 捕包分析

从故障现象分析该接入交换机上有报文泛洪，但无法确认是DHCP报文泛洪、ARP报文泛洪，还是其他报文。本文借助于WireShark捕包工具分别在核心交换机上做镜像端口和接入交换机上进行捕包［3－4］，捕包结果如表1所示。捕包时长为5s，捕获ARP报文总数为3 459 964package。这是典型的ARP报文泛洪现象。对其中一个数据包（Frame 3）进行拆解，主要信息有：数据包源自TP－LinkT－10：e3：ac（1c：fa：68：10：e3：ac），是一个广播包Broadcast（ff：ff：ff：ff：ff：ff），捕包工具发出警告：有两个不同MAC地址拥有相同的IP地址（Duplicate IP address detected for 172.21.5.249（1c：fa：68：10：e3：ac）－also in use by c：fa：68：10：cd：ad（frame 2）Frame showing earlier use of IP address：2）。

根据解包分析，广播包是由两个TP－Link的无线AP发出的ARP请求包，长度为60B，类型为Gratuitous ARP。这两个无线AP配置成了同一个IP地址，两个ARP都在不断广播ARP，相互询问172.21.5.249地址是谁，而解析显示有相同的IP地址冲突，但是AP不予理会。

表1 捕获数据包信息Table 1 Packet capture information

3 Gratuitous ARP相关知识

Gratuitous ARP也称为免费ARP。Gratuitous ARP不同于一般的APR请求，它并非期待得到IP对应的MAC地址，而是当主机启动的时候，将发送一个Gratuitous ARP请求，即请求自己的IP地址的MAC地址。

免费ARP有两种作用：

（1）免费ARP能够使主机A确定另一个主机B是否设置了与其相同的IP地址。主机A并不希望对此请求有一个回答，但是，如果收到一个应答，那么就会产生一个错误消息“以太网地址aa：bb：cc：dd：ee：ff发送来重复的IP地址”，以便确认IP地址重复。

（2）如果发送免费ARP的主机正好改变了硬件地址，那么这个分组就可以使其他主机高速缓存中旧的硬件地址进行相应的更新。

4 故障原因分析及解决方案

根据捕获报文和Gratuitous ARP原理分析，故障产生的原因是接入交换机上两台TP－Link无线AP配置了相同的IP地址，在无线AP加电启动或者有用户接入访问时，AP会发送Gratuitous ARP进行请求自己的IP地址和MAC地址。当收到应答时，会产生一个错误消息，通常对于计算机而言会进行处理，从而出现“重复的IP地址”的提醒而使其失效，但是对于普联TP－Link 701N这款无线AP，是无法存储和显示这类信息的，而且不作任何处理使重复的IP地址失效。所以，一旦有数据流过，两个无线AP便同时激活，分别连续广播Gratuitous ARP，从而导致接入交换机报文拥塞，拖慢核心交换机。

针对这种故障现象，基于Gratuitous ARP的原理，笔者从硬件和软件几方面进行故障排除。

（1）对接入的无线AP进行核对清理，排除配置相同IP地址的AP。

（2）针对接入交换机配置，尽量减少广播风暴控制值，使其即使两台AP配置了相同的IP地址，也不会影响到接入交换机的其他端口和核心交换机上的所有用户。

（3）对AP软件进行升级，使其对Gratuitous ARP请求回应进行处理，即使配置相同的IP地址，也可以由AP的IP地址自主失效，从而不影响另一AP正常工作。

5 结语

本文从实际出发，通过对局域网中的故障进行分析，发现了由无线AP产生Gratuitous ARP所引起的非病毒攻击性网络故障。此类故障具有突发性，严重危害整个局域网的稳定性。本文从技术的角度，针对此类故障，提出了3种有效的解决方案，在实践中取得了较好的效果。

［1］ 白君芬.高校公共机房ARP欺骗攻击及其解决方案研究［J］.赤峰学院学报：自然科学版，2009，25（9）：49－51.

［2］ 孙亚飞，张玉松.局域网ARP欺骗诊断分析［J］.石家庄职业技术学院学报，2011，23（6）：61－63.

［3］ 李苏丰.基于ARP欺骗防范与追踪［J］.科技信息，2012（5）：141－142.

［4］ 车树炎，苏冠东.基于ARP欺骗攻击网络安全性的研究［J］.电脑知识与技术，2012（24）：5795－5796.