20201006 -

0. 引言

这两天上网的时候，总是短时间断网，其他人都没有问题。通过wireshark查看数据包，发现在断网的过程中，接收不到数据包了，短暂的没包之后，大概1-2分钟左右，就能恢复，此时会发现wireshark中充斥着arp数据包，是某个IP的arp请求，而且请求的目的地址非常多，呈现出遍历的样子。
初步怀疑，断网的原因是因为这个请求在大量发送arp的请求数据包，导致网卡暂时收不上来包，而其他人没有感觉的原因可能是他们的网卡性能稍好，我使用的是一个很久的台式机，虽然显卡和硬盘都换了更好的，但是网卡估计不行。
而且怀疑这个IP应该是被入侵或者中病毒了？以我现在的认知，我感觉正常不该有这种遍历的行为。

1. 溯源

起初怀疑是我们实验室的机器，但是这个IP实际上是一个动态分配的，之前的时候已经对IP做了管控，每个区的IP都是锁定在某个段的，但是因为这个数据包是ARP并不能保证出不去。而且，这种现象并不是持续的，今天上午就没有，昨天是晚上才有，今天是下午就出现了，怀疑是有人来了导致的。

那么怎么寻找这台机器呢？因为本身实验室并没有这种安全防护的措施，而且网线很复杂；但好在每个区的出口是固定的。所以直接就是拔了每个区的出口线，然后再看。最后发现并没有效果，还是依然存在这种数据包。
那么既然如此的话，怀疑是不是其他楼层的流量？因为我感觉我们的这个交换机应该不是汇聚层，仅仅是某个级联的一层，所以这次尝试的方法就是直接拔掉了整个实验室的出口网线。这是能够发现没有再接收到ARP数据包。那么这样的可以得出结论，该部分数据包是其他楼层过来的。

2. 封堵

那么这种情况应该怎么封堵呢？起初我是想直接在本机上网卡层面进行访问控制，但是搜索了之后没有发现解决方案。但是我们实验室出口的交换机是能够进行行为管控的。那么直接采用ACL的规则就可以了。

• 进入交换机的管理界面，该部分很早之前就已经设置了web界面，所以这次直接进去就好了。
• 在资源部分先设置ACL规则，而该部分采用二层ACL管控
• 在安全部分添加规则，在接口部分添加规则，入方向拒绝

一开始的时候，不是很明白这个出入的概念，这个数据包是从其他地方过来的，从网络的角度来看，应该是入，所以初步设置了入，好使。

3. 思考

这个问题并不是很复杂，但实际上溯源的过程挺难的。我所在的实验室机器非常多，同时没有一个等级或者管理的过程，本质上，这种应该在相应的机器上有所谓记录过程。这样才能进行实际的溯源。你连日志都没有，你还溯源什么，而且这种arp的数据包，你都很难判断是出入方向。对于网络监听来说，你只能看到这个数据包，看不到这个数据包是外面进来的，还是里面进来的。

这从另外一个角度反映出来，其实对这部分资产的管理，还是很重要的，同时要有日志才能溯源。