抓不到真实的IP

azngb · 发表于 2007-6-6 00:35:54

我们的机房有大概400台机器,最近老出现一些ARP太多无请求应答片刻就能上万个ARP无请求应答,但是抓到的全不都是假的MAC地止和IP地址,就是找不到真实的地址,我想请问一下怎么才能找的真实攻击者的IP地址,看流量行不行啊,怎么样才能快速的找到攻击者,攻击者的IP和MAC地址都是随机产生的假地址

3721 · 发表于 2007-6-6 09:09:03

这里应该有类似的贴子，

http://www.csna.cn/forum.php?mod ... %3D1&sid=KtP55G

http://www.csna.cn/forum.php?mod ... %3D2&sid=C7v4kg

http://www.csna.cn/forum.php?mod ... %3D3&sid=C7v4kg

。。。。。。。。。。。。。。。。。。。。

这样的帖子太多了，LZ自己慢慢看吧

菜鸟人飞 · 发表于 2007-6-6 09:50:00

这个问题在论坛中讨论过比较多了，楼主可以查看一下上面这位兄弟所给出的一些链接。

另外，需要注意，在网管型交换机上应该可以检测出来时那个端口有ARP flood，但如果是非网管型交换机，就比较麻烦，只能用拔网线排除法或者观察交换机上端口的通讯情况，或者结合分路器进行单向抓包从而排查故障。

sivalei · 发表于 2007-6-6 23:34:33

一分钱一分货。

廉价的傻瓜交换机就该抛弃