第一次用科来查ARP

SCAN · 发表于 2007-5-9 16:31:57

到了这家公司发现已经不能正常上网了,公司里人告诉我经常有瞬断的情况.初步怀疑是ARP,就宽带进线直接接主机PING DNS正常,经过路由PING包也正常,就拔掉交换机端口上所有的线.一直PING包逐步再插到交换机.有丢包的就不插.这个时候,启用科来发现的有大量ARP请求.192.168.1.100是我用的机器,192.168.1.102是普通机器.

SCAN · 发表于 2007-5-9 16:34:42

抓包截图......

SCAN · 发表于 2007-5-9 16:41:39

再利用物理地址扫描查到该机器,对这台机器进行杀毒.

网络恢复正常.
有一个疑问?我用PING包逐步排除的方法,怎么没有把这台机器给我排除掉.
我每往交换机上插一个端口,都要等待5分钟左右,发现没有丢包才会插下一个.
怎么会把192.168.1.102这台机器给漏掉了呢?

菜鸟人飞 · 发表于 2007-5-9 16:46:48

用Ping包查找ARP攻击？
这个想法较为新颖，但从未这样操作过，想来成功的机率也不会太大。

ARP的攻击主机是不会断网的，它也正常的和网络通讯？
而其它被攻击主机，在连接上后，也会再次发起ARP请求，这时网关会告诉他，从而正常通讯。

所以这样的操作应该不会成功。

ppp2 · 发表于 2007-5-9 16:56:45

ARP攻击网关时，ping网关有可能能查出来，
但如果ARP仅仅只是病毒发作，在内网大量发送病毒而已的话，ping网关就不会有啥反应

zealotcc · 发表于 2007-5-9 19:47:29

还是有一些道理的，通过　延时和掉包来分析，找出来的应该是问题主机，但不一定是arp问题

SCAN · 发表于 2007-5-9 21:51:29

在详细说下情况吧,以便大家共同探讨.这个公司是个小型局域网.其实是最简单的网络结构,一个路由下面接了2个交换机.
接入宽带是FTTB+LAN结构,正常情况下PING 网络服务商的DNS丢包率应该小于1%,可能开始没有叙述详细.刚开始利用丢包排除了3台机器问题主机(并不一定是ARP),我问的是192.168.1.102我通过科来来抓的包是不是就可以判定是ARP?第一次用科来,自己实际工作遇到的问题,想和大家共同交流一下.处理问题很简单,要及时的满足用户的需求这个才是最主要的,当时肯定也没太多时间来具体研究问题.

7843805 · 发表于 2007-5-10 13:41:49

dfffffffff

wwwang · 发表于 2007-5-10 16:21:05

能够解决问题就是好,科来也有一次帮我解决了一个怪问题.
............................................................................................................
首先说明问题的现象,一个接在交换机上打印机打印不了,而接在同一个交换机上的电脑都正常.当时第一反眏以为是打印服务器坏了,更换一个测试还是一个样,后又更换打印主板,还是不行.眼见领导们在我身后站成一排心里急的冒汗.
突然想起科来,于是拿起装了科来的笔记本,捣鼓,捣鼓!终于发现经过这个交换机以后,某些报文不见了,怀疑是交换机出了问题,更换,OK!
............................................................................................................
现在,写的轻松,当时真是急坏了,所以在没有头绪的时候试试科来也是一种方法.
(只是可惜当时忘记抓包

)

qu0423 · 发表于 2007-5-15 13:05:49

顶~顶~顶~顶~顶~顶~

wmlian · 发表于 2007-5-21 00:28:40

我这有一个两百多台的网络，前天第一次用科来就查出了一台有ARP欺骗的机子，真心谢谢科来！随带提一下，查出来有几台有ARP欺骗的机子都装有瑞星，有一台是下载版的病毒库还是最新的。。。。后来卸了装卡巴就没事了。。。只有天知道是什么回事

文少哥哥 · 发表于 2007-6-13 10:49:41

如果是简单的arp直接攻击的话我是这样处理的：假设网关为192.168.1.7
我开2个cmd窗口，一个一直：ping 192.168.1.7 -t
此时肯定不通，然后在另外一个cmd窗口里面arp -d
然后再进行arp -a
此时如果有不是网关的ip地址或别的mac，我想可能就是攻击者。
但这样的方法只能查一些直接arp攻击行为
如果是攻击网关，分析起来比较困难。
这时还是用科来或sniff来分析吧！

lcylcyll · 发表于 2007-6-24 11:38:25

我的也是啊！！
当时也是试一试用科来一下看到有Ｎ台机中了ＡＲＰ叫他重启一下就好了！！

zsyutian · 发表于 2009-8-18 22:42:15

我也遇到此情况了

lovezq85 · 发表于 2009-10-25 23:25:53

以后把MAC地址双绑定吧...
话说楼主交换机排除的时候..漏掉102号机器..这个我也没想明白..

wxl4204 · 发表于 2009-10-26 22:32:06

我觉得多查看ARP缓存应该会发现问题

yeanjq · 发表于 2009-11-20 10:55:30

值得学习，谢谢楼主！ 1# SCAN

xyzl7477 · 发表于 2009-11-21 06:54:37

最近网络出现瞬断,看样子也可以是ARP攻击,ARP攻击发送的是广播包?

xyzl7477 · 发表于 2009-11-21 06:58:46

如发现一普通交换机下面的用户出现瞬断,把装科来系统的主机直接连接到交换机上(不做镜像)可以抓a到ARP攻击包吗?

davidxiaojian · 发表于 2010-11-9 17:54:53

ARP攻击发送的是广播包

best坏小子 · 发表于 2010-11-14 14:15:20

这段时间论坛的广告怎么越来越多了

第一次用科来查ARP

评分

能够解决问题就是好

浏览过的版块