用科来抓的包，请大家帮忙分析下

43631466

一开始发现网络中有很多ARP扫描的信息，发现都来自交换机的网关（192。168。0。254），
还有个疑问就是192。168。2。152这个IP地址，网络中是划分了VLAN的，怎么会扫描到别的网段的机器？
对其中几个IP地址说明下，192。168。0。31本机，用来测试的机器
                                    192。168。0。254本网段的网关，交换机的网关
                                    192。168。254。2路由器的内网口
请斑竹和大家帮我分析下，谢谢！！！

artico

那就看看192.168.0.254的MAC地址到底是不是0015f976ae40?
如果不是，，会是那个IP的？
象出现这种情况，明显是网内有ARP欺骗！！！

43631466

网关192.168.0.254的MAC地址就是0015f976ae40，192.168.2.152的MAC地址也变成了0015f976ae40
是192.168.2.152在用什么ARP工具造成的吗？

artico

原帖由 43631466 于 2006-8-29 10:08 发表
网关192.168.0.254的MAC地址就是0015f976ae40，192.168.2.152的MAC地址也变成了0015f976ae40
是在用什么ARP工具造成的吗？

差不多是这样的意思，反正都是伪造的数据包，如果只是伪造了MAC，你试试把192.168.2.152断网看看网络恢复正常？不然就是IP、MAC都是伪造的，这个就不好查。。。