网络攻击案例
嗅探跟踪:Snier 和 ARP 分析网络问题
()
电信网络内部一套 112 测试系统,涉及到一系列服务器和测试头(具有 TCP/IP 三层功能的
终端),原有的拓扑在电信内网(DCN)中。由于测试范围的扩大,有些机房没有内网接
入点,变通的方案是在城域网上建立一个 VPN,将那些没有 DCN 接入点的测试头设备接在
此 VPN 上,然后此 VPN 通过一个防火墙(PIX)与 DCN 做接口。可以将这些测试头看作
一些提供测试服务的服务器,使用 NAT 静态转换将这些测试头映射为 DCN 内网网段上的
IP 地址,内网的一些客户端使用这些映射后的地址访问测试头。
方案实施后,用 DCN 内网设备访问有些测试头,时通时不通,对这些局点的 112 测试
工作带来了极大的困扰。通过使用 Snier 抓包工具,结合对 ARP 协议的理解,逐步分析
出了故障的真正原因,解决了问题。这个分析解决问题的思路本人自己觉得有归纳总结的必
要,所以成文推荐给大家,共同学习。
故障现象说明
112 系统的部分网络拓扑图如图 1 所示。