网络症状：联网时，有时候网页打开速度非常缓慢，有时丝毫没有动静，显示无法打开网页。不过，在非上班时间，如中午和晚上等休息时间，网络一切正常。根据这一情况判断，网络硬件故障的可能性微乎其微，经过检查没有发现异常情况，排除了物理上的错误。看来是软件上的问题，脑海中的第一反应就是目前比较流行的ARP攻击。

　　笔者兼任一所学校的网络管理员，最近该校一栋教学楼内的网络突然出现时断时好的现象，严重影响了正常的教学工作，情况危急，需要马上解决!

　　作笔者立即着手进行调查，据老师们反映：联网时，有时候网页打开速度非常缓慢，有时丝毫没有动静，显示无法打开网页。不过，在非上班时间，如中午和晚上等休息时间，网络一切正常。根据这一情况判断，网络硬件故障的可能性微乎其微，经过检查没有发现异常情况，排除了物理上的错误。看来是软件上的问题，脑海中的第一反应就是目前比较流行的ARP攻击。

　　ARP协议的中文名为“地址解析协议”，用于将网络中的IP地址解析为硬件地址(MAC地址)，以保证通信的顺利进行。当计算机接收到ARP应答数据包的时候，就会对本地的ARP缓存进行更新，将应答中的IP和MAC地址存储在ARP缓存中。所以在网络中，如果有人发送一个自己伪造的ARP应答，网络可能就会出现问题，这就是ARP欺骗，其常见的特征就是主机频繁掉线。

　　这与我们的网络症状非常相似，但是ARP攻击需要找到它的源头，一般的方法很难查找，需要在交换机上进行抓包分析，于是找到了Iris Network Traffic Analyzer(以下简称Iris)。这是一款网络流量分析监测工具，可以帮助系统管理员轻易地捕获和查看用户的使用情况，同时检测进入和发出的信息流，自动进行存储和统计。这款软件的图标很像一只眼睛，看来 “火眼金睛”是找到了，现在就花工夫怎么用好它了!

　　由于该教学楼的交换机是一台非网管型交换机，只好拿着笔记本电脑在网络设备房“蹲点”。把笔记本电脑连接在交换机端口上，打开Iris，界面显示(如图1)。

　　

【责任编辑 王凡】