网关发的ARP请求`

wlxinsheng

大家好.我是新手.今天早上用科来网络分析系统对局域网抓了一下包.发现了许多ARP请求.而且是在我的网关192.168.1.1上发出的.那台机器也没有做什么事情呀...请大家帮我分析一下吧..我上传了包.

wwwang

包呢？再传一次吧！

helpme

网关的mac表满了，如果有新的ip请求，并且在mac表中找不到，网关就会发出arp请求，最常见的是病毒通过伪造的arp包将网关的mac表填满。其它还有什么，请各位高手补充。

田迹

我上次还以为是我cisco router中ARP病毒了呢.

孤独的意尹者

原帖由 helpme 于 2006-9-4 18:11 发表
网关的mac表满了，如果有新的ip请求，并且在mac表中找不到，网关就会发出arp请求，最常见的是病毒通过伪造的arp包将网关的mac表填满。其它还有什么，请各位高手补充。

MAC表满了，它应该时把数据包洪乏，而不是发送ARP请求

孤独的意尹者

另外，有很多高人说是代理ARP造成的，等我有时间做个实验，做好了，我会把报告发上来给大家看的

ValorZ

代理ARP，一般是ARP应答，而且应答的IP不是局域网内的IP
是把其它网络的IP绑上网关接口的mac地址发出去的。
其次，Router一般性是不会中病毒的。修改CISCO的IOS可不是一件简单的事情

[ 本帖最后由 ValorZ 于 2006-9-5 09:29 编辑 ]

helpme

原帖由 孤独的意尹者 于 2006-9-5 09:24 发表


MAC表满了，它应该时把数据包洪乏，而不是发送ARP请求

我有点不明白数据包如何洪泛，为什么不发arp请求？如果网关的mac表满了又找不到局域网内的主机mac时，网关如何处理？
我觉得应该是发出arp请求，取得相应mac，然后将cam表中的最早的一条记录删掉，把新的IP<->MAC加入到cam表中。
不知道对不对？

还有你说的arp代理是局域网内的共享代理还是super vlan中的arp代理？还是其它的什么情况？

[ 本帖最后由 helpme 于 2006-9-6 09:20 编辑 ]

菜青虫

原帖由 helpme 于 2006-9-6 09:16 发表


我有点不明白数据包如何洪泛，为什么不发arp请求？如果网关的mac表满了又找不到局域网内的主机mac时，网关如何处理？
我觉得应该是发出arp请求，取得相应，然后将mac表中的最早的一条记录删掉，把新的IP<-&g ...

当网关的在MAC表中找不到需要转发的目的地址时，它将向它的其他所有端口广播该目的地址（洪泛）

这时有点HUB的感觉了

yuwenguxin

学习ING.....................

hz123

中了ARP有很多原因的啊 包括上网站开的外挂都可能包含了ARP

osx1969

期待中