局域网网速突慢,带宽被抢，

qingfengpiaoyi · 发表于 2011-3-14 19:15:01

1、ARP 缓存中显示路由器的MAC不对，【假设伪造MAC为AA:BB:CC

D（路由器正常MAC为：****）】
2、用路由器扫描局域网IP，所有自动获取的IP的MAC均被替换为伪造MAC。
3、用局域网中其中一台固定IP电脑扫描全网MAC都没有伪造的AA:BB:CC

D
4、路由器中显示当前管理路由器的PC的MAC为伪造MAC。
5、科来显示其中一台电脑连接数为1000多个（UDP占70%），用科来抓包显示建立连接后就断开，此IP把大部分带宽抢走。【怀疑下载+攻击】
6、路由器设置开启QOS并分配每台的带宽，为什么不起作用？
------------------------------------------------------------------------------------------------------------
问题：
1、连接数多的这台是否能够确定为攻击源？如何确定？【需要确实证据，因此不能直接去查该电脑】（数据包显示没有非法包，没有广播风暴！郁闷！我的理解是：伪造的话,需要不断去广播MAC啊，但是检测不到广播，也检测不到ARP扫描或者攻击...不能因为带宽全跑那台机器、连接数多，就去查人家电脑吧？）

2、为什么路由器扫描，全部DHCP的IP MAC为伪造MAC为AA:BB:CC

D ，非常不解！！？？？

3、如何能够确定攻击源？局域网检测不到伪造MAC相对应的IP，该如何RARP?

4、路由器显示当前管理路由器的PC的MAC为伪造MAC。应该不是路由密码被破解，因为里面所有配置没变，但是QOS分配带宽，却不起作用了，所有带宽都被抢走了，实在费解？？？

5、连接数多是不是下载？【我的理解为：刚下载时连接数多，但是过几分钟就剩下几十个连接了】，但是他这台电脑，连接数一直没有降下去，一直一千多连接持续很长时间，连接的IP为全球各地。如何证明此IP是攻击源？

6、如何RARP追踪?烦请详解。。。

7、路由器穿透？？？

8、此问题是不是arp攻击?为什么检测不到广播和攻击？最有可能是什么攻击？

9、以前出过一次这种问题，不过我追踪到了，这回就懵了...

希望高手能够提供点思路，小弟感激不尽.......

long_323 · 发表于 2011-3-15 09:21:31

连接数是在哪看到的？查看一下这些连接的端口号
另外，抓包时有没有做镜像呢？最好包当时抓的数据包传几个上来。

qingfengpiaoyi · 发表于 2011-3-15 10:42:34

连接数是IPV4连接数那看到的...
抓包时就是端口镜像抓的局域网所有IP的数据包，数据包截图回头上传，现在其它电脑呢！

飘叶孤城 · 发表于 2011-4-19 14:38:02

先将单位所有电脑和IP进行登记,不在管理员这登记就不让上网,这样可以省很多事