请求帮忙分析。。

fmlhz · 发表于 2010-5-16 23:17:07

本帖最后由 fmlhz 于 2010-5-16 23:41 编辑

过滤器是arp协议，抓包图如下。。

fmlhz · 发表于 2010-5-16 23:29:57

全部主机有问题吗？？？？？？？？？？？？？？？？？？？？？？？？？？？

cccdbmw · 发表于 2010-5-16 23:34:34

那台10.10.122.116主机有问题，估计中毒了！

fmlhz · 发表于 2010-5-16 23:35:40

那有问题的肯定不只这一个，难道是这许多台？

saibei · 发表于 2010-5-17 08:38:47

网络什么现象
你的网速很慢

fmlhz · 发表于 2010-5-17 08:46:09

有点慢吧，估计是温水煮青蛙，死的不知不觉。。怎么会有这么多扫描主机呢，request和response也差太远了吧。。。

fmlhz · 发表于 2010-5-17 09:00:06

我想起一个问题，这个是神码trunk口的镜像，而不是每个端口的。。所以会不会不能检测出数据包的接收。。。不过即使这样，这每秒的数据包也是有问题吧。。

bingxuelin · 发表于 2010-5-17 09:05:36

本帖最后由 bingxuelin 于 2010-5-17 09:20 编辑

把查找到的ARP扫描的电脑都先进“带网络连接的安全模式”，用360的系统急救箱扫描一遍，可以再用windows清理助手也扫一次（清理木马比较有效），弄不好这些主机都感染病毒了，曾经我们这有一台电脑中了一种病毒在网内欺骗其它主机它是路由，导致其它在此期间打开IE的电脑全中了同种病毒，传染速度很快，就有几台有好一点杀毒软件防住了，这种问题得快点处理，全网都中病毒了那更麻烦了
网络中充斥着ARP广播包，曾经有一次一台主机发送大量广播包，直接导致内网网速超慢，一隔离那台主机就没事了，这种网络问题处理宜早不宜迟

fmlhz · 发表于 2010-5-17 09:45:23

我觉得他们有部分会是用软件的。。。。开arp防火墙的应该也有，例如彩影就有扫描吧。。。

zyjbeyond · 发表于 2010-5-17 11:07:01

都用PPPOE服务器的了，省的ARP这么麻烦。
闹心

fmlhz · 发表于 2010-5-17 11:41:49

用的是神码的认证。。。我分析了下抓的两个包，发包比较多的几个地址，他们发包的频率快的一秒几个，慢的一秒一个左右，也有大概隔5秒就一秒内发几个，而且看他们发的地址就像是互相发包扫描。。通常是3,4个地址，每个地址发给其余的。。。是攻击和被动防守吗？

billjock · 发表于 2010-5-17 14:30:44

本帖最后由 billjock 于 2010-5-17 14:32 编辑

最后一张图片说明，10.10.122.60对网段内其他主机发送ARP请求包

小弟给出几个建议
1、10.10.122.60是否是网关IP，你没有贴出网络拓扑结构以及IP划分规则。如果是网关，定期对其他IP发送ARP请求包，属正常现象。但是，也不会是每秒103个数据包。

2、拔掉10.10.122.60的网线，看网段内是否还存在这种增量的ARP包。因为10.10.122.60可能是伪造的。有时，一些精确，科学的方法，不能解决一些很笨的问题，只有用笨方法搞定。

3、抓图时，多贴点各协议域的图。以上贴图，不能很好的分析问题！

fmlhz · 发表于 2010-5-17 14:55:30

你好，谢谢你的回答，122.60并非网关ip，至于网络拓扑及ip划分规则，掩码为255.255.254.0，122.60不是伪造的ip因为我能查出它与它的mac地址，我们这里是dhcp动态分配的，但ip一段时间内不变，且能查出该ip地址对应的ip上网时间。请留意诊断发生地址，122.60不是唯一的一个主机，类似的还有很多。。。

billjock · 发表于 2010-5-17 15:55:57

频发ARP请求包的主机MAC会不会变，如果是固定的，针对解决就行了！估计是病毒

fmlhz · 发表于 2010-5-17 22:00:02

难道把这几十个主机都禁掉吗。。。

请求帮忙分析。。

本帖子中包含更多资源

评分