金山服务器版杀毒软件存在ARP攻击!!!

viviviva

近几天公司的金山毒霸升级后,附带ARP防火墙功能,却不料,升级后,某VLAN丢包严重,带有发生ARP攻击,并在VLAN产生大量的无请求ARP应答包,有几台主机不断的发送ARP请求包,并且里面的源MAC都是伪造的,通过科来和SNIFFER联合抓包分析,找到了攻击源,但奇怪的是这些攻击主机并没有染毒,所以就开始怀疑金山毒霸,查看ARP防火墙功能是关闭的,本人对攻击源主机上的金山毒霸进行强行删除后,发现ARP攻击消失,后对另外几台安装有毒霸的主机进行相同操作,整个VLAN安静下来.
   事后致电金山公司,技术员称这是程序设计上的失误,汗!!!!!!我整整分析了三天!
   希望有安装金山毒霸的公司遇到这样的问题,能够及时跟金山联系!!!!

[ 本帖最后由 viviviva 于 2008-9-27 18:25 编辑 ]

snowhite

不懂了吧你，这也许是网络管理功能，很多网络管理软件（特别是桌面安全管理）就是利用这个原理，不安装注册软件，阻断！

viviviva

如果大公司也用这种小技量,那也太没技术含量了吧!这只是程序设计上的失误! 谁会用这种方法来阻断非授权用户的使用权啊?

oldjiang

源MAC都是伪造的，IP是真实的还是伪造的？如何找到的攻击源？

viviviva

见图!!!!!!!!!!!!!!!

oldjiang

这是一般的ARP请求包，询问192.168.11.1的mac地址
如下图，谁是 192.168.1.250? 告诉 192.168.1.253

viviviva

上面的图发错了,应该是这个数据包!!!!!!!

oldjiang

这个有点怪异


从我抓的包来看，即便是单播的ARP请求，ARP层的目标物理地址也是全0