用科来诊断分没有ARP，但确实存在网关欺骗，求教高手分析数据包！

roykeen

网吧260台客户机，划了2个网段192.168.0~192.168.1。
网关192.168.0.1 Mac 地址是00:07:e9:0f:70:70对应 192.168.0段
网关192.168.1.1 Mac 地址是00:07:e9:0f:70:70对应 192.168.1段
网关是linux AS系统代理服务器，做过arp双向绑定，内网互ping网络速度正常。客户机新开机无法连接内网任何一台机器，arp -a 发现网关mac地址为 192.168.1.1 00-00-00-00-00-00 Invalid。这个时侯arp -s 绑定正确的mac地址即可正常访问网络和其他服务器，多发于192.168.1段网络，192.168.0段网络也有上述情况出现。同时使用100台电脑以上情况比较突出，机器较少使用的时候不太明显。

怀疑是ARP网络风暴，头疼找不到病毒源客户机。使用欣向寻arp检测工具和arp detect 只能检测到一部分网卡是混杂模式，分析arp欺骗源的时候却定位到网关的mac上边和使用分析软件电脑的mac上。其他的办法也试验了不少，都是没有结果，麻烦高手帮我看看，感谢不尽！这个问题快把我郁闷死了。

数据使用192.168.0.239机器 (MAC)00:16:E6:365:C8安装科来分析系统采集数据包。

roykeen

晕，快被这个问题烦死了。

哪位大哥有空帮忙给个建议啊！

bxdo

刚学网络分析，不太清楚，不过好像有ARP广播。

xiaoshazi

1、问题描述不清楚。
2、抓包软件部署不对，具体抓包方式在论坛里搜索。

deviland

你看看有没有其他电脑的IP和MAC假冒了你的网关。

wastebaby

有没有拓朴图呀,还做的RIP?

switch

两个网段网关都使用192.168.0.1  子网使用255.255.254.0 192.168.0.1-192.168.1.255  
这样设置   而且抓包必须部署正确 找到中心交换机配置镜像口接上装有分析软件的机器出故障时进行检测。

lhjsfq0

日月如梭天天天，寒来暑往年年年。
指点江山侃侃侃，老虎機上分器谈谈谈。
西城杨柳弄春柔。动离忧。泪难收。
犹记多情，曾为系归舟。碧野朱桥当日事
人不见，水空流。

韶华不为少年留。恨悠悠。几时休。
飞絮落花时候、老虎機定位器一登楼。
便做春江都是泪，流不尽，许多愁。

Qsh_yz

应该不是ARP病毒！！！

hudengke718

两个网段对各自网关的arp请求都没有回应我怀疑是不是代理服务器的问题,你先将一个网段断开然后再在这个网段加一个普通的路由器在客户端向路由发送arp请求,抓包测试能不能收到arp回应包!