一台电脑老发ARP包给DNS服务器,是中了ARP病毒吗?

shenjar

用科来分析软件,发现公司的一台计算机10.0.0.78,老发ARP包给公司的DNS服务器10.0.0.3"谁是10.0.0.3,告诉10.0.0.78",而且全是发给10.0.0.3的.该机是中了ARP病毒吗?
而且公司网络现在很慢,ARP request 包有2千多个,而ARP response 只有87个.

另外,为什么我的科来分析系统的诊断那里是空白的?太多ARP请求没应答,看网上的教程见到会有显示"ARP请求风暴",但为什么我的就没有显示呢?
请各位高人指教,谢谢!!!

[ 本帖最后由 shenjar 于 2008-8-14 10:23 编辑 ]

oldjiang

1、他要上网，就要解析域名，就要发DNS请求包给DNS服务器，就要知道DNS服务器的MAC地址，当ARP缓存没有记录的时候就要发ARP请求包。有无病毒，主要看诊断视图有没有ARP事件，另外这些包是否很密集。
2、ARP request是广播包所以多，ARP response 是单播包所以少
3、“公司网络现在很慢”，是不是有人在看奥运视频。做镜像抓包，看看谁的流量大。

oldjiang

“诊断那里是空白的”，诊断视图的内容跟节点浏览器的位置有关
“太多ARP请求没应答”，应该是太多ARP无请求应答吧？发包的机器如果不是网关，则可能有欺骗
没有“ARP请求风暴”，只说明抓包的时候没有

shenjar

很详细啊,谢了.
还有最后那个
"没有“ARP请求风暴”，只说明抓包的时候没有",是没有什么啊?

oldjiang

ARP扫描可能发生在抓包之前

lixingkui

很有可能是中了ARP木马了。