最近，公司中了ARP,请大侠们帮忙分析一下

richiecn520 · 发表于 2008-8-13 13:25:06

公司40台机器，很多机器都出现经常断线的问题，安装360ARP防火墙，发现有一个MAC 00-14-78-1D-B1-C6 地址冒充网关的MAC攻击，正确的网关MAC应该是00-09-0F-16-43-00 检查过，公司内没这个个MAC的地址，很多机器都被这个MAC地址欺骗，导致掉线，清空ARP缓存可以恢复一段时间上网，几分钟哦后问题依旧，应为是假冒的MAC地址，所以找不到病毒机器，后来给每台电脑做一个绑定正确网关的批处理，问题好转了点，网络总算没掉线了，但是这两天又出现落网很慢的现象，ping内网正常ping外网丢包严重，接受邮件会延迟。

这次初到贵论坛，用科来网络分析软件分析了看也没看出什么不对的地方，请大侠们帮忙分析下，附件上传了

工程 1.rar (595.36 KB, 下载次数: 8)

ＰＩＮＧ外网严重丢包！！！

[ 本帖最后由 richiecn520 于 2008-8-13 16:25 编辑 ]

oldjiang · 发表于 2008-8-13 13:50:09

如何查找伪造的MAC地址，参考http://www.csna.cn/forum.php?mod=viewthread&tid=4955
如果交换机是可管理的，也可以从交换机mac地址表查
1#的工程没有正确部署，参考http://www.csna.cn/forum.php?mod=viewthread&tid=9417的3#
DNS服务器设的是网关，改为ISP的可能更好

richiecn520 · 发表于 2008-8-13 14:08:57

科来的这个软件还不怎么会操作，版主能不能帮忙分析下，在线也可！！

oldjiang · 发表于 2008-8-13 14:10:35

1#的工程没有正确部署，看不出慢的原因。
能否描述一下拓扑？说一下路由器、交换机的型号？看看是否支持端口镜像

oldjiang · 发表于 2008-8-13 14:17:40

参考http://www.csna.cn/forum.php?mod=viewthread&tid=9417的5#，设过滤器，可以长时间抓包，看看是否还有ARP问题。抓ARP包，无需镜像等部署。

richiecn520 · 发表于 2008-8-13 14:35:31

路由器是Fortigate-60 交换机是TPlink的

oldjiang · 发表于 2008-8-13 14:39:23

Fortigate-60 无镜像
TP-LINK什么型号？具体一点

richiecn520 · 发表于 2008-8-13 14:52:28

两个交换机，一个是TP-link TL-SF1024 另一个是TP-link TL-SF1016

oldjiang · 发表于 2008-8-13 15:19:41

从TP-LINK的网站看，这两个都是基本型的交换机，没有手册下载，可能是不可管理的。你是否有光盘、手册，看一下。

oldjiang · 发表于 2008-8-13 15:21:28

在论坛按标题搜索“网慢”，范围是所有开放的板块，有三页的帖子

richiecn520 · 发表于 2008-8-13 15:28:54

谢谢版主，我找找看！

oldjiang · 发表于 2008-8-13 15:28:55

奥运期间，很多人看在线视频，我上网也慢

richiecn520 · 发表于 2008-8-13 16:19:39

公司１０Ｍ的光纤，弄得这么慢，奥运的影响这么大呀。。测速才１.５ＭＢ，平时都有８ＭＢ左右的

oldjiang · 发表于 2008-8-13 16:36:14

有一个临时的办法，在Fortigate-60屏蔽掉udp-high-ports即udp 1024-65535端口

oldjiang · 发表于 2008-8-13 17:13:48

下面的图来自Fortigate-60安装和配置指南：
这里应该可以看到总的流量大概是多少，也许还能看到哪个IP流量大

配置SNMP，配合solarwinds等软件，也可以观察到总流量

oldjiang · 发表于 2008-8-13 17:30:47

像Fortigate-60这样的路由器，ZOL报价几千块钱，他们为什么不集成一个像科来这样的分析软件呢？简化一点，有节点浏览器、概要、端点、协议、会话就行了。