用科来诊断分没有ARP，但确实存在网关欺骗，求教高手分析数据包！

roykeen · 发表于 2009-3-21 14:23:40

网吧260台客户机，划了2个网段192.168.0~192.168.1。
网关192.168.0.1 Mac 地址是00:07:e9:0f:70:70对应 192.168.0段
网关192.168.1.1 Mac 地址是00:07:e9:0f:70:70对应 192.168.1段
网关是linux AS系统代理服务器，做过arp双向绑定，内网互ping网络速度正常。客户机新开机无法连接内网任何一台机器，arp -a 发现网关mac地址为 192.168.1.1 00-00-00-00-00-00 Invalid。这个时侯arp -s 绑定正确的mac地址即可正常访问网络和其他服务器，多发于192.168.1段网络，192.168.0段网络也有上述情况出现。同时使用100台电脑以上情况比较突出，机器较少使用的时候不太明显。

怀疑是ARP网络风暴，头疼找不到病毒源客户机。使用欣向寻arp检测工具和arp detect 只能检测到一部分网卡是混杂模式，分析arp欺骗源的时候却定位到网关的mac上边和使用分析软件电脑的mac上。其他的办法也试验了不少，都是没有结果，麻烦高手帮我看看，感谢不尽！这个问题快把我郁闷死了。

数据使用192.168.0.239机器 (MAC)00:16:E6:36

5:C8安装科来分析系统采集数据包。

roykeen · 发表于 2009-3-24 15:42:12

晕，快被这个问题烦死了。

哪位大哥有空帮忙给个建议啊！

bxdo · 发表于 2009-4-28 20:20:00

刚学网络分析，不太清楚，不过好像有ARP广播。

xiaoshazi · 发表于 2009-4-28 23:14:22

1、问题描述不清楚。
2、抓包软件部署不对，具体抓包方式在论坛里搜索。

deviland · 发表于 2009-4-29 08:12:31

你看看有没有其他电脑的IP和MAC假冒了你的网关。

wastebaby · 发表于 2009-4-29 11:48:21

有没有拓朴图呀,还做的RIP?

switch · 发表于 2009-4-29 12:44:23

两个网段网关都使用192.168.0.1 子网使用255.255.254.0 192.168.0.1-192.168.1.255
这样设置而且抓包必须部署正确找到中心交换机配置镜像口接上装有分析软件的机器出故障时进行检测。

lhjsfq0 · 发表于 2009-5-23 21:46:32

日月如梭天天天，寒来暑往年年年。
指点江山侃侃侃，老虎機上分器谈谈谈。
西城杨柳弄春柔。动离忧。泪难收。
犹记多情，曾为系归舟。碧野朱桥当日事
人不见，水空流。

韶华不为少年留。恨悠悠。几时休。
飞絮落花时候、老虎機定位器一登楼。
便做春江都是泪，流不尽，许多愁。

Qsh_yz · 发表于 2009-5-25 14:49:53

应该不是ARP病毒！！！

hudengke718 · 发表于 2009-5-26 16:07:54

两个网段对各自网关的arp请求都没有回应我怀疑是不是代理服务器的问题,你先将一个网段断开然后再在这个网段加一个普通的路由器在客户端向路由发送arp请求,抓包测试能不能收到arp回应包!

用科来诊断分没有ARP，但确实存在网关欺骗，求教高手分析数据包！

回复 1# 的帖子