让人发疯的Request

yizi712

请各位高手来帮帮忙分析一下这是什么原因造成的，我该如何去解决呢~~！先在这谢过各位热情相助的朋友了
我这里使用的是宽带拨号，用Dr.COM 宽带认证客户端软件上网
下面是我使用科来网络分析系统截获的一些数据图片（小弟第一次使用这个软件不懂得如何分析）

[ 本帖最后由 yizi712 于 2008-9-21 22:41 编辑 ]

oldjiang

图片我看不见，“图片来自QQ空间”
最好把数据包传上来看看
说说Request指的是什么

oldjiang

全是广播包
参考http://www.csna.cn/forum.php?mod=viewthread&tid=7914 用科来网络分析系统监控广播风暴
如果上传数据包，请描述一下拓扑

yizi712

多谢版主热心帮忙，本人新接触科来软件，所以还不懂得该如何去进行分析，现将工程文件传上来请帮忙看看o(∩_∩)o...
Request也就是我的网络一直在大量发送arp请求，你看看工程文件就清楚了，谢了，版主真是热心……

[ 本帖最后由 yizi712 于 2008-9-23 00:24 编辑 ]

yizi712

下面这个工程文件是根据
参考http://www.csna.cn/forum.php?mod=viewthread&tid=7914 用科来网络分析系统监控广播风暴
截获的数据文件

[ 本帖最后由 yizi712 于 2008-9-24 12:18 编辑 ]

yizi712

我这里的网络拓扑是：200M光纤进来一个中心交换机，下面接有3个24口和3个48口二层交换机（都是用光纤连接的），下面就是用双绞线分下去，接的8口交换机；
上面这些数据我是在8口交换机下的客户机中截获的

oldjiang

协议视图，ARP-Request占了几乎全部的流量
定位他
看端点视图，按总流量或发送数据包降序
00:1D:0F:87:54:F0、00:1D:0F:4C:0F:EC的发包过于密集，而且都声称自己是192.168.1.1，你的子网似乎并没有这个ip
00:00:00:00:00:66 (18)也是个假地址
查看-显示网卡厂商，端点视图有VMWare:F6:52:3E（节点浏览器也有）
应该是有人用虚拟机做ARP实验
参考http://www.csna.cn/forum.php?mod=viewthread&tid=10625

oldjiang

如果你的交换机是可管理的，查看一下mac地址表，可知其端口，或者查看端口流量也行

yizi712

“ARP-Request占了几乎全部的流量”
这个是否可以说明我的网络中存在这ARP攻击呢~！
还有就是“00:1D:0F:87:54:F0、00:1D:0F:4C:0F:EC的发包过于密集”，也就是只要找到这两台机子，亲自去看看这两机子，我网络的问题应该就可以解决了对吗？？
还有最后一点就是：在矩阵社图下面，为什么00:1D:0F:87:54:F0、00:1D:0F:4C:0F:EC这两台机子都和
FF:FF:FF:FF:FF:FF通信，然后FF:FF:FF:FF:FF:FF又和所以其它的主机通信呢？？我看不明白。
需要说明的一点就是我的是学校宽带，平时会有一些同学会去使用VMWare，我也会经常用它来玩Linux

晕死图片放上来怎么就删不掉了~~

[ 本帖最后由 yizi712 于 2008-9-21 20:31 编辑 ]

oldjiang

1、这种堵塞网络的行为，算是攻击了
2、找到发包的机器，把它们断网，就好了，但是00:1D:0F:87:54:F0、00:1D:0F:4C:0F:EC这两个mac不一定是真实存在的
3、FF:FF:FF:FF:FF:FF是广播地址，在论坛搜索“广播地址”有一些帖子，比如http://www.csna.cn/forum.php?mod=viewthread&tid=7753
在矩阵视图，选择物理、广播

可以看到他是只收不发的

4、VMWare是好东西，但是有意无意的干扰网络运行就不好了
5、如何删除图片
每#帖子右下角都有编辑

把要删除的图片打勾，然后点编辑帖子，即可

oldjiang

“00:1D:0F:87:54:F0、00:1D:0F:4C:0F:EC这两个mac不一定是真实存在的”，我的意思是他很可能是虚拟机里的网卡，或者随意构造的mac，我对VM不熟。如果你的网络上没有这个mac，最好的办法是查看交换机的mac地址表，估计你的一级、二级交换机都是可管理的，8口的则是不可管理的，从上往下找，至少可以判断大概的范围。第二个办法就是拔线或者shutdown交换机端口，拔到那个流量降下来，那就是他了

yizi712

多谢oldjiang版主，你对我的网络故障解决上给予了莫大的帮助，还让我在解决这个问题的过程中学到了许多的知识，最重要的就是得到了你这么热情的帮助，我相信在以后的日子中我一定可以在本论坛学到更多实用的东西的。

oldjiang

作为一个网管，分析软件确实是一个利器，不可缺少
人各有所长，大家互相交流，互相学习

royallin

原帖由 oldjiang 于 2008-9-21 01:00 发表
协议视图，ARP-Request占了几乎全部的流量
定位他
看端点视图，按总流量或发送数据包降序
00:1D:0F:87:54:F0、00:1D:0F:4C:0F:EC的发包过于密集，而且都声称自己是192.168.1.1，你的子网似乎并没有这个ip
00:00: ...

那个应该是VM的虚拟网卡地址，通常非绿色版会默认安装2张虚拟的VM网卡，一张用来连接主机的。
VM是个好东西，没用过就可惜了，一定要试下。
一般的机器可以虚拟linux几十个，windowns10个左右，用来做虚拟主机或者进行网络模拟。

wastebaby

我裝的虛擬機里两张虚拟网卡对应的MAC地址 ，实际上是不存在的，但是不知道VM虚拟机是根据什么原则来设定虚拟网卡对应的MAC地址的:

终于找了篇关于这方面介绍：MAC Address for Virtual Machines
虚拟世界的MAC地址
先看一下真实世界的MAC地址是如何分配，如何保证没有重复的。

每块网卡都有一个MAC地址，MAC地址是一个6字节、也即48bit的数据。前3字节称为OUI，是由IEEE组织注册给网络设备生产商的；每个厂商拥有一个或多个OUI，彼此不同。后三字节则是由网络设备生产商分配给自己生产的每一个拥有MAC地址的设备，互不重复。

在VM的世界中，每一台拥有虚拟NIC（网卡）的设备当然也拥有MAC地址。这虚拟网卡的MAC地址，当然也是按照规定，前三字节为OUI，后三字节逐一分配给每个设备。

由于虚拟网卡的”制造商“是VMware，XenSource，微软等虚拟平台软件的生产商，OUI当然就分配给了他们。



VMware VM所使用的OUI
按照VMware ESX 3的[Server Configuration Guide]的说法，VMware的使用下面的三个OUI作为VM的MAC地址：

00:0C:29 - 用于自动生成的MAC地址
00:50:56 - 用于手动设置的MAC地址
00:05:69 - 曾经用于旧版本的VM（大约是在ESX 1.5的时代），在ESX 3中已经不再使用
但是在实际应用上，我发现00:50:56这一MAC地址段并不是完全用于手动设置的MAC地址：

00:50:56:00:00:00 - 00:50:56:3F:FF:FF
这一段MAC地址可以用于手动设置的MAC地址
00:50:56:40:00:00 - 00:50:56:FF:FF:FF
这一段（我的推测，不一定准确），则是用于ESX 3上的自动生成的MAC地址（包括VM和Service Console）


MAC地址的生成
OUI有了，后三字节如何生成呢？要知道虚拟机是经常被创建和销毁的，这一点不像实体PC。网卡生产商可以计算每年生产多少块网卡，从而为每块网卡分配不同的MAC地址； VMware却不可能计算出每年有多少台VM、有多少块虚拟网卡被创建。

VMware ESX Server的算法是，使用散列算法，通过VM的UUID来生成MAC地址。VM的UUID是每一台VM特有的、128bit的ID，是由ESX Server硬件SMBIOS的UUID、加上VM的路径生成的。因此，一台虚拟机的虚拟网卡的MAC地址就与下面四个因素有关：

VMware的OUI
Host (ESX Server)的SMBIOS中的UUID
VM在服务器上的路径
网卡的实体名 (Entity Name)，用来确保同一VM上的不同网卡有不同的MAC地址


MAC地址冲突的检测与解决
MAC地址一旦生成，就不会再有变化，除非上面所述的四项因素发生改变（最可能发生的就是第三项，VM在服务器上的路径改变）。

尽管如此，由于散列算法本身的特征，还是有万一发生MAC地址冲突的可能（可能性极小，和年末ジャンボ中头彩的几率差不多）。ESX Server会不断跟踪和检测运行中和挂起(Suspend)的VM，以保证没有MAC地址冲突。但是已经关闭电源的VM是不在检查对象之内的。


因此，万一一台VM启动时ESX检测到MAC地址冲突，它会分配给VM的虚拟网卡一个新的MAC地址。所以从这个意义上说，VM的MAC地址是可能发生变化的——只是这个概率实在太小。



手动指定MAC地址
手动指定MAC地址仅用于一些极其特殊的情况，通常是进行P2V的时候。例如，某物理服务器上的软件，其License已经与该服务器的MAC地址绑定，如果MAC地址改变则软件无法运行；再如，某些底层网络软件以MAC地址来鉴别机器时，为了不做更改能够继续使用，在P2V的时候也要手动指定MAC地址。

打开一个VM的.vmx文件，可以看到如下设置：（如果有多块NIC的话，那么就会有ethernet0、ethernet1、ethernet2……）

ethernet0.addressType = "generated"
ethernet0.generatedAddress = "00:0c:29:9b:fb:18"
这说明该NIC是自动生成的MAC地址。只需如下更改即可变为手动分配的MAC地址：

ethernet0.addressType = "static"
ethernet0.address = "00:50:56:00:00:01"
其中的00:50:56:00:00:01就是手动指定的MAC地址。

Ethernet adapter VMware Network Adapter VMnet8:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : VMware Virtual Ethernet Adapter for
VMnet8
        Physical Address. . . . . . . . . : 00-50-56-C0-00-08
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 192.168.16.1
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . :

Ethernet adapter VMware Network Adapter VMnet1:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : VMware Virtual Ethernet Adapter for
VMnet1
        Physical Address. . . . . . . . . : 00-50-56-C0-00-01
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 192.168.109.1
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . :

VM里面的虚拟机连接到外网有附件图所示的几种方式

[ 本帖最后由 wastebaby 于 2008-9-22 12:41 编辑 ]

wastebaby

有VMnet0到VMnet9共10张虚拟网卡。其中，VMnet0默认是采用Bridge是用的虚拟网卡，VMnet8是默认情况下NAT方式使用的虚拟网卡，VMnet1是默认采用host-only时使用的虚拟网卡。当然，这些虚拟网卡的用途，在VMware Workstation中都是可以变更的

[ 本帖最后由 wastebaby 于 2008-9-22 10:28 编辑 ]

yizi712

你对VM虚拟机原理了解得比较清楚，我平时只是用一些它的基本功能，每次都能连得上网就OK了。没有深入去关注， 呵呵， 我又学到了VM的MAC分配原理……

yizi712

oldjiang版主,
分析：
我刚刚又去抓了些数据包认真去看了看，00:1D:0F:87:54:F0、00:1D:0F:4C:0F:EC这两个MAC地址对应的IP是一样的（都是192.168.1.1），IP存在冲突，这个应该就是我的网络中产生大量ARP请求数据包的最终原因吧！两台机器一直在发送ARP数据包请求确认自己的IP，这样就造成了网络中ARP请求数据包猛增！
解决办法：
对于这样的情况，需要找到这两个MAC地址的主机，将其IP地址改为不一样就可以了。

版主帮看看我这样的分析对吗？？？

lovehuhu

我有个建议，你的网络，现在再抓包，意义不大，我看了你上面抓的包，00:1D:0F:87:54:F0、00:1D:0F:4C:0F:EC这两个MAC地址很可能是个假MAC地址（实际物理网卡中并不存在），我原来也用VM做过这方面的实验，既然是假的，那么就算有整个网络的正确的MAC表也没有用，但是有一点我们不要忘记咯，既然流量有那么大，那么交换机端口的数据灯当然是在狂闪咯，在机房一看便知。把网线一拔，自然会有人来找你的哦。

lovehuhu

原帖由 oldjiang 于 2008-9-21 20:20 发表
“00:1D:0F:87:54:F0、00:1D:0F:4C:0F:EC这两个mac不一定是真实存在的”，我的意思是他很可能是虚拟机里的网卡，或者随意构造的mac，我对VM不熟。如果你的网络上没有这个mac，最好的办法是查看交换机的mac地址表，估 ...

Oldjiang兄，00:1D:0F:87:54:F0、00:1D:0F:4C:0F:EC这两个mac地址,就是VM中虚拟出来的，其实不管它如何隐藏自己的真实MAC，就算再在主机中多虚拟几快网卡，但我们不要忘了在装有VM的主机上，只有一块是真正存在，我的意思就是只有一块是通过网线连接到交换机的，我认为这个包是特意有人搞出来的（难道真的是有人想和网管开个玩笑，或者是楼主自己想做个实验）

yizi712

为了查看VM虚拟出来的MAC是什么样子的，我刚刚在自己的机子上安装了VM5.0，然后查看到了这样两个MAC地址  :
VM1:  00-50-56-C0-00-01
VM8:  00-50-56-C0-OO-08
证实了上面第15楼的wastebaby说的虚拟机MAC地址分配原理是正确的。
但是，请你说说你依据什么？这么肯定00:1D:0F:87:54:F0、00:1D:0F:4C:0F:EC这两个MAC地址一定就是虚拟机虚拟出来的呢~~！可不可以说说你的理由（判断依据）？？

oldjiang

不对。
如果两个主机设置了相同的IP，后启动的或后修改的主机在发现IP冲突后不会再使用这个地址，更不会这样疯狂的发包。
要么是人为的，要么是病毒。

xiasixia

这个帖不错，学到点新知识

lovehuhu

那天分析了你的工程包，现在我删掉了，今天发现你的工程包连接也不在了，你能不能再传上来，我做个试验

royallin

原帖由 yizi712 于 2008-9-22 23:37 发表
oldjiang版主,
分析：
我刚刚又去抓了些数据包认真去看了看，00:1D:0F:87:54:F0、00:1D:0F:4C:0F:EC这两个MAC地址对应的IP是一样的（都是192.168.1.1），IP存在冲突，这个应该就是我的网络中产生大量ARP请求数据包 ...

这是VM网卡设置错误问题，你看谁在玩VM，叫他看下设置。可能是新手。

royallin

原帖由 oldjiang 于 2008-9-23 08:11 发表
不对。
如果两个主机设置了相同的IP，后启动的或后修改的主机在发现IP冲突后不会再使用这个地址，更不会这样疯狂的发包。
要么是人为的，要么是病毒。

VM里面的虚拟网卡，只要不设置他们桥接或者NAT，是不会相互连同的。
VM是个好东西哦，版主还是下载个下来用下吧，会了解很多的。

yizi712

我已经重新上传上去了在 5#

yizi712

我昨天去机房看了交换机，端口数据灯好像全部都是在狂闪，这个办法看不出来。
想着去尝试一下拔线，不过，不到万不得已还不可以这样干，要把那些正在玩游戏的家伙不非把我电话打爆不可

yizi712

如此多的ARP数据包请求（其中没有一个回应数据包），应该不可能是因为IP“IP设置错误”（冲突）造成的。
还有就是“看谁在玩VM”，我们这里有15x7,这么多寝室，不可能跑到每个寝室，每台电脑去看看有谁在玩VM。
我们应该可以想出一个更加省力，有效的办法的——多研究一下科来软件，看下能否找到个好方法

yizi712

主机向网关发送大量的arp请求包，但不攻击网关，该如何查封？

--------------------------------------------------------------------------------
如题，我们的一台cisco3560G交换机，通过划分不同的vlan接入各以太小区，最近发现CPU利用率突高，小区上网速度变慢，但没有中断现象，也没有听说有帐号被盗的情况发生。
show proce cpu发现其中arp input占了一多半，但是show log没有ip冲突的信息，到现场抓包发现个别小区下有主机向网关发送大量的arp请求，对本网段的arp信息进行轮询，每秒钟几百个，封掉mac后正常。
但此办法不长久，没几天又有新的主机发作，远程还不能发现，只能到现场逐个抓包检查，太麻烦了。不知道有没有人遇到过类似的情况，是如何处理的？
还有，问了cisco的人，说是没有好的办法，果真如此吗？
-----------------------------------------------------------------------------------
这是我刚刚从网上看到的，我这里的网络状况有点和上面的类似，有一部分电脑主机CUP利用率经常达到100%（包括我自己的电脑），还有本地网卡一直占用7%，即使你什么都不做。即使你重装系统全部格盘，只要你插上网线，就会出现这样的状况……哎，现在自己的电脑只要多开点程序，就会当机，主板还在报警温度达到60°左右 （机箱盖都被我揭开了）

[ 本帖最后由 yizi712 于 2008-9-24 12:59 编辑 ]