急！急！急！局域网ARP攻击频繁掉线

squirrel1111

救命啊，困扰好久了
我公司局域网频繁掉线，怀疑是ARP攻击，但是一直找不到是哪台机子的问题，用了好多办法都找不到
哪位高手帮帮忙啊
我已经把诊断的事件上传了
感激啊

从零开始

楼主请上传数据包。

jerrymice

是否中了ARP攻击,比较容易看出来.况且用科来检查网络的时候可以看下ARP协议那里.
安装360ARP防火墙也行.记住要绑定路由(网关).
因我刚进公司的时候,也遇过ARP攻击,大规模的攻击,只要一连上网线,鼠标就慢得动不了的那种情况,系统根本没有资源来正常工作.
硬件方面:
1,检查网线是否有回路,水晶头是否有损坏
2,检查各电脑网卡是否有损坏或者灰尘太多
3,检查路由器或者交换机是否有损坏,或者各接口都完好(可以一个一个端口来试下,以确定是接哪一端口的电脑出问题,以此缩小排查范围)
4,打电话咨询下ISP,让他们测试下机房到你公司的猫的连接是否有问题
软件方面:
1,检查DNS是否出错,
2,检查是否有电脑的IP地址设置成路由的IP地址,即网关
3,检查病毒(可以打ARP补丁,装360ARP防火墙)
4,检查防火墙设置是否正确
5,安装Ethereal这个软件,这个软件可以追踪ARP攻击源.我找到的,现在用的是英文版.中文版没找到.
祝你好远...

只是一个神话

诊断事件里无ARP信息。

squirrel1111

刚才传的数据错了，不是ARP的，现在重新传一次，请各位帮我分析下

squirrel1111

360的ARP防火墙捕获的记录：
2008-08-27 15:24:23        网关欺骗：                00-D0-D0-3D-C9-64                1
2008-09-28 08:10:44        网关欺骗：                00-D0-D0-3D-C9-64                1
2008-08-28 11:15:08        内部攻击：        192.168.1.1        NetSense.exe                1032
2008-08-29 08:04:17        网关欺骗：                00-D0-D0-3D-C9-64                1
2008-09-01 16:10:13        网关欺骗：                00-D0-D0-3D-C9-64                5
2008-09-02 08:55:03        网关欺骗：                00-D0-D0-3D-C9-64                2
2008-09-02 10:33:57        网关欺骗：                00-D0-D0-3D-C9-64                4
2008-09-02 10:57:23        网关欺骗：                00-D0-D0-3D-C9-64                4
2008-09-02 16:09:18        网关欺骗：                00-D0-D0-3D-C9-64                9
2008-09-02 16:21:16        网关欺骗：                00-14-78-F7-D0-EE                1
2008-09-02 16:29:52        网关欺骗：                00-14-78-F7-D0-EE                1

快被折磨死了，什么办法都用过来了，就是没办法解决

wct

使用ROUT端口镜像功能，抓个内网的包传上来。我帮你看看。

zywg

把每台机子都装个ARP防火墙啊