|
|
发表于 2012-12-11 11:08:38
|
显示全部楼层
大致看了你的数据包,全是ARP的广播包,没有ARP回复包
首选,我向问下楼主,你捕获的数据,不是在网络出口边界以端口镜像等方式捕获的把,是直接抓自己网卡的电脑吧。如果只是在电脑网卡捕获数据包,还不能完全判断问题。
只针对楼主这个数据包情况来看,不少的主机发送的ARP请求过多,几秒内有的主机高达300个左右,且这些ARP请求包是向不同的内网IP请求MAC地址。此行为是ARP扫描攻击。(注意,目前很多杀毒安全软件,有网关MAC保护功能,其原理就是不停的向网关IP发送ARP请求,网关也是正常回复,这时候你抓包看到的大部分ARP请求对应只有对应网关IP)。
网络中过多ARP扫描欺骗攻击,会影响用户的正常上网。建议对每台电脑进行全盘杀毒、网关MAC保护或部署内网安全方案,之后在网络出口边界部署端口镜像等方式抓包监控,持续监控全网络情况。根据网络分析仪器统计分析,判断故障主机,及时响应解决问题。 |
|
