今天刚上班,就被同事小李拽到他的位置上,让我帮他“修理”一下他的爱机,呵呵,没办法,谁叫我是网络管理员呢。据小李描述:他今天早上开机及使用的时候系统运行都比较慢,重启了几次,都是如此,通过这些故障现象,我首先查看了windows的加载项,也查看了注册表的启动项,发现均无异常,再进一步查杀病毒和***,也没有什么发现,仔细一想,开机时运行较慢,肯定是有什么后台程序在运行,病毒或者***的嫌疑应该是最大的。但是用什么方法能够找到呢?正好,前段时间用了科来网络分析系统,对这个软件的使用及故障分析还是有一点经验,现在,正好用科来网络分析系统抓包来看看该主机的网络通讯,看是否能找到突破口。于是,马上登陆科来软件的官网网站,当下了科来网络分析系统技术交流版,在电脑上安装运行(注:由于只抓本机的数据包,所以,并不需要做端口镜像之类的前期部署工作),注册完毕,开始抓包。

大约2分钟以后,停止抓包,我们来看一下该主机(192.168.0.38)的网络通讯,在矩阵视图中,可以清楚的看到该主机在这2分钟内与网络中的哪些主机或设备进行过通讯,从下图来看,该主机与45个端点进行过通讯,并且通讯对象几乎全是内网IP,由于公司的电脑不多,40台左右,所以并未并未划分子网,从网络连接来看,该主机与内网中的所有主机都有过通讯,显然这不太正常,值得怀疑。


    如果需要了解详细的通讯内容,可以在会话视图中进行查看,这里就不再截图了。我们再看诊断视图,科来网络分析系统的专家诊断功能可以自动诊断很多网络故障,并且自动定位出发生该故障的详细信息,发生故障源IPMAC地址等,从下图看到:该主机有ARP扫描行为,并且,源IP和源MAC正是192.168.0.3800:14:85:CA:F5:22,这就印证了我们在矩阵视图中看到的结果,由于该主机开机时在进行ARP扫描,以至于和内网中的其他主机都在进行连接通讯。


    接着,我又查看了数据包解码,进一步证明了刚才的判断。从数据包解码看:这台主机不断的向内网中的主机发起ARP请求,如下图。


这时,已经找到了故障所在,该主机在进行ARP扫描以至于系统加载时会比较慢。那是什么原因导致的ARP扫描呢,还得再进一步查找。我们都知道,ARP扫描无外乎就两种情况,人为主动扫描或感染病毒、***。既然现在并没有运行任何扫描软件,那就排除了主动扫描这种情况,我们就把应该把重点放在病毒或者***的查找上。

打开Windows 的进程管理器,如下图。很快,我们就发现一个可疑进程:macdetect.exe,在我们没有开启任何应用程序的情况下,Windows的系统进程是没有这样一个进程的,那么,就很有可能是这个进程在作怪。于是,在网上搜索这个进程,发现是安装网路岗后自动加载的一个扫描程序 ,问小李,是不是安装了网路岗,原来他说是昨天下班时安装过,也就是为了好奇,想看看都有些什么功能,导致今天早上奇怪的网络通讯连接。



    至此,卸载网路岗后,问题得到解决。造成这种问题的原因猜想网路岗是为了获得网络中主机IP地址与MAC地址的对应关系,于是主动向其他主机发送ARP请求,导致他的通讯连接异常。通过科来网络分析系统对网络通讯的监控和故障诊断,可以非常轻松的解决此类问题。