虽然这个案例比较简单,但也比较常见。只是又遇见这样的问题,所以拿来与大家分享一下查找和分析问题电脑的思路和步骤。
查找的思路
突然发现网络比较慢,就打开#Wireshark#抓了几分钟的数据包,发现局域网内arp数据包的数量比较多,过滤后发现极不正常,192.168.2.122一直在发广播“询问”网内主机,有经验的#网络工程师#一看就知道明显是arp扫描。
分析定位主机
知道了原因,明确了方向,就是查找“问题主机”了。分为以下几个步骤:
1、查看send主机的mac地址,通过mac地址查询网站找到网卡生产厂商,初步判断是局域网内的哪些主机(网内电脑品牌较多且无线、有线均有),缩小范围。
2、查看路由器的“终端管理”,匹配mac地址、ip地址和主机名称,对照设备分布表(纸质或电子表格),最终定位问题主机(Lenovo-PC)。
最后,通过一番查杀病毒、漏洞补丁,arp扫描现象消失,网络恢复往日的安宁。
总结
该现象简单且常见,但是很烦人,在处理这类问题时一定要有“基线”参考,通过抓包工具分析问题设备mac、ip和主机硬件(网卡)三位一体,有局域网所有设备资料备份,即可迅速定位故障源,及时解决问题。
分享到:
