ARP 扫描不断，目标物理地址：FF:FF:FF:FF:FF:FF

jrmd

环境简介：企业内部 PC 数量约 450 台左右，在 HP 5412zl 核心交换机上划分了两个 VLAN：192.168.0.0/255.255.0.0，这是生产网，子网内的电脑约300多台，所以配置的是B类网，因为C类网只有255个IP不够用。
另一个子网：10.0.0.0/255.255.255.0，这是行政网，在互联网出口路由器上设置了 ACL，只允许 10 子网的数据报流出路由器，简单来说就是 10 子网可以上互联网，192 子网不能上互联网。


症状：
昨日（8月7日）下午15时左右，技术人员报告问题，所有电脑如果重启后均无法通过 DHCP 获取到IP地址！业务面临中断！！
我登录 DHCP 服务器，发现地址池全部被占用完毕，其中有很多

BAD_ADDRESS
BAD_ADDRESS
...
......
把 DHCP 地址池的剩余 IP 资源全部占用完，导致客户端 PC 重启后无法获取到IP。


在 10 子网内随便找了台电脑，ARP -A 查看 ARP 地址表：

Internet Address      Physical Address      Type     
10.0.0.1              00-12-79-8d-8f-00     dynamic  
10.0.0.4              00-12-79-8d-8f-00     dynamic  
10.0.0.48            54-e6-fc-74-3b-e0      dynamic  
10.0.0.57            c8-1f-66-1f-a2-4d       dynamic  

发现一个很奇怪的问题，为什么第二个 ARP 表项的 MAC 地址与第一条 10.0.0.1（核心交换机）的MAC地址一模一样呢？？ARP 欺骗应该是 IP 地址一样，冒充 10.0.0.1，但广播出来的 MAC 地址肯定是中毒那台电脑的真实MAC，对吧？另外，如果给客户机 PC 设置静态IP，随便设成哪个 IP 都会报地址冲突，即使设一个根本不是我们企业网段的 IP：148.2.0.1/255.255.255.0，也会报地址冲突，这就让我很纳闷了~~~

然后用科莱进行抓包，发现核心交换机 10.0.0.1 不停的在 ARP 广播，怀疑是核心交换机出了问题，准备把它换掉。但又担心核心上配置了很多东西，更换核心后新核心交换机配置对不对？能不能用？正在犹豫时，核心的 ARP 广播包数据变少了，从几秒内发10多20个，降到25秒内发1、2个，
这个时候把 DHCP 的地址池内 BAD_ADDRESS 的项目删除，重启DHCP服务，发现客户端电脑又可以上网了。
因为比较晚了，就没有去深究原因，各自回家了。

今天中午刚准备午休，值班技术人员又打来电话，说又出现昨天那个问题了。马上到单位，发现 DHCP 地址池确实被 N 多 BAD_ADDRESS 把地址池给占用完了。

APR -A，发现昨天核心 MAC 地址重复的问题不出现了，但 10.0.0.20 这台电脑的 MAC 地址有问题：

  Internet Address      Physical Address      Type
  10.0.0.1              00-12-79-8d-8f-00     dynamic
  10.0.0.4              44-87-fc-d3-cb-28     dynamic
  10.0.0.20             00-00-00-00-00-00     invalid
  10.0.0.48             54-e6-fc-74-3b-e0     dynamic
  10.0.0.57             c8-1f-66-1f-a2-4d     dynamic
  10.0.0.95             00-e0-6f-29-58-32     dynamic
  10.0.0.96             00-30-67-23-8e-0b     dynamic
  10.0.0.103            44-87-fc-fc-80-7c     dynamic


启动科莱抓包分析，发现有几台电脑老是在发 ARP Who is 广播，目标广播就是 10.0.0.20，但目标物理地址是 ff:ff:ff:ff:ff:ff，如下图。

请问：
1、这两天出现的网络故障，不是核心交换机的问题吧？

2、中病毒的电脑是发 ARP 广播包的电脑呢？还是 10.0.0.20 这台电脑？

3、在科莱软件里，怎么把抓到的包保存下来，上传到论坛给大神分析呢？

4、正常情况下，A 要和 B 通信时，先发个 ARP Who is 包在子网内广播，目标 IP 是 B 的 IP，目标 MAC 地址就是 FF:FF:FF:FF:FF，这样才能广播，所以 arp Who is 时，目标 MAC 地址是 FF:FF:FF:FF:FF:FF 正常的，对吧？

asd0109

你可以在出问题的时候用wireshark 抓包然后存下来，我可以帮你看看。

QQ 9119545    发我邮箱就可以