已重新部署了网络分析系统ARP扫描，ARP请求风暴是正常的吗？帮忙分析[附工程]

xstrjfy · 发表于 2006-12-23 17:35:58

本网吧客户机五十台，收银机一台老板自己一台（现在已坏维修中）共五十二台机器，其中客户机系统xpsP2上海政府版全部重做系统了，只有一台收银机没有重做系统（我们的收费系统为重庆公安爱克吧），但是用诺盾杀毒且隔离，现在用科来分析，老是提示192。168。10。100也就是收银机（爱克吧计费端）ARP扫描及请求风暴。并且不定时的掉线，时隔一天两天几小时不等，重启路由器即可马上正常（注：客户机所有已作ARP绑定，路由器也对客户机绑定）即双绑。用ARP -A查看：
   interface:192.168.10.33---0x2
   Internet Address       Physical Address                Type
   192.168.10.1          00-0e-e8-06-1c-59                static
   192.168.10.33          00-14-2a-6b-9c-e6                static
   192.168.10.100       00-30-18-a9-1d-d0                dynamic
192.168.10.1为路由器IP地址，192。168。10。33 为本机地址，也就是科来网络分析系统，192。168。10。100为收银机的地址。求各位高手指教，这是ARP作怪吗？附工程，图。谢谢！

我已重新部署了网络分析系统,最后一个图片是拓朴结构图.请各位下载最后一张图上面的工程附件,大小为825,k.也就是这个"<K附件: 工程 1.rar (2006-12-25 04:05, 825.07 K)
该附件被下载次数 2>"谢谢各位帮忙!

[ 本帖最后由 xstrjfy 于 2006-12-26 12:04 编辑 ]

xstrjfy · 发表于 2006-12-25 04:08:58

高手们帮忙看看呀。现在又附了一个工程上来，是问题出现的时候抓的包，用科来扫描的时候仍然说192。168。10。100（这台机器是刚重做的系统），在做ARP扫描，是不是爱克吧原因呀。我都快崩溃了。

[ 本帖最后由 xstrjfy 于 2006-12-25 04:10 编辑 ]

lingyungong79 · 发表于 2006-12-25 08:19:12

估计是！不知道那个“爱克吧”是什么东东！很多年没回重庆了。

lingyungong79 · 发表于 2006-12-25 11:15:55

查一下192.168.10.27 *：*：*：*：38：D1这台电脑~

KelvinFu · 发表于 2006-12-25 11:31:19

LZ的部署好像不正确，详细的安装部署，请看下面的地址：
http://www.csna.cn/forum.php?mod ... &extra=page%3D1

xstrjfy · 发表于 2006-12-25 13:07:00

谢谢各位关注.
爱克吧就是重庆公安要求装的一种收费软件,没有万象好用,兼容性不是很好.但是公安插手,我们不得不装,没有办法.

楼上仁兄说的192.168.10.27是一个女孩子在玩劲舞团.查了,没有什么异常.

哦!各位听说过ARP变种吗?

san980 · 发表于 2006-12-25 14:34:14

我也觉得楼主的部署不对吧！捕获的数据应该不完整！

xstrjfy · 发表于 2006-12-26 12:05:58

急求解决,自己顶起来!

wastebaby · 发表于 2006-12-26 12:27:28

找一台装卡巴网络版的杀毒软件，有这种扫描卡巴应该可以监测的到

KelvinFu · 发表于 2006-12-26 14:21:06

LZ再次发送的文件，似乎还是没有部署好，也看到的是本机192.168.10.33的通讯，根据你的拓扑图：

1.如果你的路由带有镜像功能，你可以直接在路由器上做镜像配置，然后进行抓包；
2.如果你的路由器不带镜像功能，而你需要捕获所有的数据包，则你需要在路由器下面串接个HUB或者TAP，而路由器下面接的交换机需要接在HUB或者TAP上；
3.或者你只捕获LAN2或者LAN3其中一个的流量，你需要在LAN2或者LAN3的交换机与路由器之间串接HUB或TAP。

xstrjfy · 发表于 2006-12-26 21:30:24

原帖由 KelvinFu 于 2006-12-26 14:21 发表
LZ再次发送的文件，似乎还是没有部署好，也看到的是本机192.168.10.33的通讯，根据你的拓扑图：

1.如果你的路由带有镜像功能，你可以直接在路由器上做镜像配置，然后进行抓包；
2.如果你的路由器不带镜像功 ...

你好，谢谢你们的关注，我现在重新发贴吧。请另看主题：
{ARP双绑了，还掉个七八次，科来提示有ARP扫描及请求风暴。请帮忙分析下谢谢！！}这次的部署决对正确，只不过工程分卷有一点多。希望抽出宝贵时间帮忙分析一下

[ 本帖最后由 xstrjfy 于 2006-12-27 22:53 编辑 ]

zjs100 · 发表于 2006-12-27 09:03:55

如果出现问题了。抓包的时间不用太长。这样分析起来可能会容易些，只要看一下那台机器发的包异常，基本可以判断出来！！

enjoycool · 发表于 2007-4-1 18:13:36

我那台游戏更新的主只装讯闪也时不时出现，RP扫描，我用了卡吧，其它的去查都没事。
再装系统了也一样，后来跟了三个星期觉得网络没什么事就没理了。
我也不明白，为什么会出现ARP扫描。。

ValorZ · 发表于 2007-4-1 21:40:39

收费软件可能每格一段时间都要检测局域网中电脑的状态，因此可能就会同时向局域网内的机器通讯，这时就会出现ARP的扫描
。

loveser · 发表于 2007-4-1 22:45:10

收银机的ＡRP扫描是很正常的　　所有的收银机都会进行正常的ＡＲＰ扫描
不过如果你的收银软件做的比较好，应该有地方可以设置这个扫描的时间间隔

还有，你的收银机应该接到一个交换机下在，　这样可能减少路由器的工作量　
接到 lan3口的交换机上最好

16684191 · 发表于 2007-4-3 10:29:58

顶起来，跟我的问题一样啊，怎么解决啊？

tyh2000 · 发表于 2007-4-5 22:57:30

可能是由于收银机发大量的ARP请求包时，路由器不能接收处理，相当于收银机对路由机做了DDOS了。
不过如果象这样的话，所有机器都不能上网了。不知道你说的掉线是不是机器都掉线还是指收银机掉线。如果所有机器都掉线，我的想法就对了。

已重新部署了网络分析系统ARP扫描，ARP请求风暴是正常的吗？帮忙分析[附工程]

本帖子中包含更多资源

各位听说过ARP变种吗?

回复 #16 16684191 的帖子