急，局域网中了arp病毒

stone001 · 发表于 2013-3-27 11:24:26

公司核心交换机是华为s1200，有200多台电脑，组网的人太懒没有划分VLAN，在交换机防火墙作了IP-MAC绑定（前210个IP），同时开着DHCP，设置了允许分配地址为后几个ip。第一个问题：我尝试关闭DHCP，然后网速猛然变慢，重新开通后又正常了。这是什么原因呢？

第二个问题：公司局域网里发现arp病毒，假冒网关192.168.0.1而导致时不时有电脑无法上网。查到发动攻击的MAC为

0007-0355-80df ，用科来抓包能发现该MAC，但用科来扫描局域网MAC却没有发现。打开ARP防火墙的电脑会提示”受到arp攻击，攻击类型为DNS欺骗，ip为192.168.0.1，MAC为

0007-0355-80df“，尝试追查真实ip时失败。绑定真实网关MAC可以正常上网，网速不受影响。

另外核心交换机每秒数次提示

：

接收到IP地址冲突的ARP报文，IP地址为192.168.0.1，接口为Vlanif1，MAC地址为0007-0355-80df!

请问如何找出中毒电脑？

stone001 · 发表于 2013-3-27 11:26:57

急啊，请大侠救急！！！！

tonylldd · 发表于 2013-3-27 13:27:51

接入了宽带路由器否？

蚂蚁昆虫 · 发表于 2013-3-27 14:43:07

把网线都拔掉，一个一个试，哪台ping不过去就是他。

807393666 · 发表于 2013-3-27 14:56:23

通过科来，查看那台主机的arp流量较大，再排查

807393666 · 发表于 2013-3-27 15:01:03

通过科来，查看那台主机的arp流量较大，再排查

sjy2043 · 发表于 2013-3-28 09:57:06

怎么回复不了呢？
--------------------

sjy2043 · 发表于 2013-3-28 09:59:59

查查内网的无线AP

_Rabbit · 发表于 2013-4-3 09:51:11

可以在交换机上查看mac地址表，找到这个mac对应的端口就可以定位主机。例如：cisco输入show mac-address-table,就可以看到这个MAC是从哪个端口学到的