定位地址冲突源头

在单位内网环境中，每台终端计算机往往都会使用静态IP地址，不同计算机使用的IP地址不相同，理论上不会出现地址冲突现象，但事实上IP地址冲突现象在内网环境频繁发生，给内网的稳定运行带来了不小的威胁。

造成这种威胁的原因主要是不少终端用户对网络配置操作不熟悉，不了解IP地址、默认网关、网络掩码等参数怎么设置，有的用户不按规定使用网络参数，或者是终端用户在重装系统时不懂得使用以前的配置，而是胡乱选择IP地址。当然，也有可能是恶意用户人为制造IP地址冲突威胁，来干扰局域网的稳定运行。这种冲突威胁不但容易频繁发生，而且还有一定的隐蔽性，不容易被及时定位，只有在发生冲突的终端计算机同时在线时才能显露出问题。

要想快速定位地址冲突源头，必须在发生地址冲突现象时，立即关闭合法的终端计算机，否则非法计算机在不能上网的情况下关闭系统时，会给定位操作带来麻烦。之后，使用ping命令测试非法计算机的在线状态，如果发生冲突的计算机IP地址为10.176.0.6，那么可以在DOS命令行窗口，输入字符串命令“ping 10.176.0.6 -t”，当 返 回 如图1所示的结果信息时，就意味着非法计算机处于在线状态。之后，在命令行提示符下，输入字符串命令“nbtstat -a 10.176.0.6”，从返回的结果信息中，可以获取非法计算机的主机名称、网卡物理地址以及该计算机所处的工作组名称。根据这些结果信息，再对照原始的组网资料，网络管理员就能有效定位到非法计算机究竟位于什么位置了。

图1 返回结果信息

当然，对于一些已经改变了主机名称、工作组名称等信息的恶意IP盗用现象，上述方法就无法快速定位到地址冲突源头了。这时，我们不妨以其人之道还治其人之身，使用“IP地址攻击器”这个黑客攻击工具，对非法计算机进行主动攻击，让其不能正常上网，这样非法用户到时会主动上门请求帮助，我们也没有必要漫无目的地去定位冲突源头了。

开启“IP地址攻击器”的运行状态，在“攻击测试”位置处输入发生冲突的IP地址，假设这里输入“10.176.0.6”，点击“开始”按钮就能向目标计算机发动攻击。很快，非法计算机就会发生明显的数据丢包现象，表现出来的故障与常见的受攻击计算机一样，例如虽然QQ可以上线，但是发送信息和接受信息都无法成功，上网访问时只有发送数据包，没有接受数据包。

定位ARP攻击源头

ARP病毒攻击局域网的现象经常发生，虽然这类病毒不能自我复制，也不会主动传播，但是它在发作运行的时候，常常会向整个网络发送虚假ARP数据包，造成终端计算机系统不能找到真正网关，从而严重威胁局域网的稳定运行。所以，怎样快速有效定位ARP病毒源头，同时将毒源从网络中隔离开来，就成了网管人员的当务之急。定位ARP攻击源头的方法有很多，可是不少方法都要通过专业工具才能完成，现在我们灵活通过交换机内置的管理命令，来快速定位局域网中的ARP病毒源头。

例如，某局域网终端计算机接二连三地发生无法上网故障，有时是一台终端不能上网，有时是某个VLAN中所有终端都无法上网。碰到单台终端不能上网时，简单地修改上网地址或重新启动系统，就能临时解决网络故障；当特定VLAN中所有终端计算机都不能上网时，网络管理员通过重启对应VLAN接入交换机，也能快速恢复网络状态。可是，要不了多长时间，同样的故障现象又会卷土重来。经过初步分析判断，网管员认为上述故障与ARP病毒引起的现象十分相似，看来局域网存在ARP病毒攻击现象。

由于ARP病毒只能在同一个虚拟工作子网中传播扩散，网管员认为ARP病毒源头肯定位于故障终端所在的VLAN中。为此，网管员在故障终端系统打开运行对话框，输入“cmd”命令并回车，切换到MS-DOS工作窗口，执行“arp-a”命令，从返回的结果信息中发现网关设备MAC地址变成了“0000-5e00-1d02”，但真实的网关MAC地址并不是该地址，这说明故障终端真的有ARP病毒存在。

面对包含了几十台上网终端的特定VLAN，怎样快速定位到ARP病毒源头的位置呢？网管员查看了该局域网的组网结构图，看到每个VLAN的接入交换机都支持网络管理功能，同时还支持日志记忆功能，通过它们可以追踪、记忆对网络的访问记录。于是，网管员立即借助超级终端程序，远程登录进入特定VLAN的接入交换机后台系统，使用“system”命令，将交换机切换到全局配置状态，输入“display logbuf”字符串命令，查看交换机后台系统日志内容时，发现有“%May 9 11:12:36 2014 YCXZ_W_P8512 ARP/4/DUPIFIP:Slot=4;Duplicate address 10.192.105.13 on VLAN12, sourced by 01ed-3c76-d0e1”这条记录内容，很明显ARP病毒位于VLAN12工作子网中，ARP病毒源头来自网卡MAC地址为01ed-3c76-d0e1的终端计算机系统，那么这台终端计算机系统究竟位于哪个办公室呢？

考虑到连接到每个交换端口的网络线缆上都有标签信息，提示用户哪个交换端口连接到了哪个办公室，所以网管员认为现在只要找出网卡MAC地址为01ed-3c76-d0e1的终端计算机系统，究竟连接在哪个交换端口，之后再根据交换机线缆标签上的说明信息，就能定位到ARP病毒源头位于哪个办公室了。

网管员立即在接入层交换机后台系统，使用“display mac”字符串命令，查看了所有连接在该交换机上的MAC地址记录信息，从返回的结果信息来看，对应01ed-3c76-d0e1地址的端口，位于当前接入层交换机的第八个以太端口（e0/8）。立即赶到对应接入层交换机现场，网管员迅速检查了第八个交换端口上的标签信息，看到ARP病毒源头位于单位大楼316房间的终端计算机系统中。至此，ARP病毒就被准确定位到具体的终端计算机中了。

为了预防ARP病毒继续威胁单位局域网其他终端系统的网络访问，网管员决定先将这台已经染上了ARP病毒的终端计算机从单位局域网中隔离开来。隔离操作很简单，只要在指定接入层交换机后台系统，逐一输入“system”、“interface e0/8”命令，切换到第八个以太交换端口视图模式（如图2所示），同时在该模式下输入“shutdown”字符串命令，强行关闭第八个以太端口工作状态，这样ARP病毒就无法在对应VLAN中继续扩散、传播了。

定位普通病毒源头

局域网中某台终端系统感染了病毒，每天不定期地对同网段内的其他计算机进行攻击，攻击范围相当之大，多台计算机系统中的防火墙拦截了该中毒计算机的病毒攻击包，数据包的IP地址来自192.168.1.16。

对于这种安全威胁事件，虽然可以借助DNS服务器将特定IP地址解析为真实的计算机名称，从而快速找到感染病毒的计算机，但是在计算机名称随机生成的情况下，通过计算机名称定位普通病毒源头的办法就无效了。实际上，在局域网域工作环境下，我们可以利用系统默认共享功能，找到染毒用户。

图2 以太交换端口视图模式

大家知道，在域工作环境下，网管人员拥有很高的操作权限，能够通过系统管理员帐号访问域中所有终端系统的共享资源，这也包括访问默认的共享资源。例如，网管员只要依次单击“开始”、“运行”命令，弹出系统运行对话框，输入字符串命令“\192.168.1.16$”，单击回车键后就能成功访问染毒系统的系统分区隐藏共享。接着打开系统分区的“Documents and Settings”文件夹窗口，在这里可以查找到登录这台终端计算机的域用户账号，再登录域控制器检验该用户账号，就能轻松地识别出感染病毒的用户。

当然，这种定位普通病毒源头的方法也有不足之处，因为现在很多终端用户基于安全考虑，往往手工关闭了终端系统的隐藏共享功能，因此使用上述方法查看隐藏共享内容时，可能会遇到失败故障。为了避免这种现象发生，我们可以通过域组策略来强制启用隐藏共享功能。在进行该操作时，可以先以系统管理员权限登录域控制器所在主机系统，启动记事本程序，手工创建好名称为“aaa.bat”的批处理文件，在该文件编辑窗口中输入“net share C$=C：”这段命令代码。

接着打开系统控制面板窗口，双 击“Active Directory用户和计算机”图标，选中并双击需要设置组策略的OU，将鼠标定位到组策略编辑窗口左侧的“本地计算机策略”、“用 户 配 置”、“Windows设置”、“脚本（登录/注销）”节点上，双击指定节点下的“登录”选项，按下其后界面中的“编辑”按钮，弹出编辑对话框，输入“aaa.bat”批处理文件的详细路径，确认后保存设置操作。再在系统运行对话框中输入“gpupdate”字符串命令，让上述组策略配置立即生效，这样域管理员就能通过隐藏共享功能定位普通病毒源头了。