雖然這個案例比較簡單,但也比較常見。只是又遇見這樣的問題,所以拿來與大家分享一下查找和分析問題電腦的思路和步驟。
查找的思路
突然發現網絡比較慢,就打開#Wireshark#抓了幾分鐘的數據包,發現局域網內arp數據包的數量比較多,過濾後發現極不正常,192.168.2.122一直在發廣播“詢問”網內主機,有經驗的#網絡工程師#一看就知道明顯是arp掃描。
分析定位主機
知道了原因,明確了方向,就是查找“問題主機”了。分為以下幾個步驟:
1、查看send主機的mac地址,通過mac地址查詢網站找到網卡生產廠商,初步判斷是局域網內的哪些主機(網內電腦品牌較多且無線、有線均有),縮小範圍。
2、查看路由器的“終端管理”,匹配mac地址、ip地址和主機名稱,對照設備分佈表(紙質或電子表格),最終定位問題主機(Lenovo-PC)。
最後,通過一番查殺病毒、漏洞補丁,arp掃描現象消失,網絡恢復往日的安寧。
總結
該現象簡單且常見,但是很煩人,在處理這類問題時一定要有“基線”參考,通過抓包工具分析問題設備mac、ip和主機硬件(網卡)三位一體,有局域網所有設備資料備份,即可迅速定位故障源,及時解決問題。
分享到:
