帮忙分析一下数据包，看看是否是ARP攻击，来自内网还是外网？

bingxuelin · 发表于 2007-9-27 11:43:30

公司最近一直网络不稳定，时断时好。在一次偶然机会发现在网络中断的同时，电信服务商DNS无法PING通，但此时公司最顶层路由器IP可以PING通（平时公司路由器设置为禁PING，所以正常状态时无法PING通），因而怀疑有ARP攻击，在其中一台电脑上安装ARP防火墙，经常显示来自外部ARP攻击，但是IP一直显示路由器的IP地址，MAC地址我把公司全部的MAC查了一遍没有该MAC地址，刚才又发现了攻击，下面就是显示相关信息。以及科来抓包显示
ARP攻击时.JPG

下图中的MAC地址发送的数据包我不明白是什么意思，用这个MAC的电脑我实在查不出来，难道是来自外网的？或者是虚拟局域网的（我们公司与韩国总部设有虚拟局域网）
可疑MAC.JPG

公司网络结构

工程 1.rar (346.3 KB, 下载次数: 49)

[ 本帖最后由 bingxuelin 于 2007-9-27 11:44 编辑 ]

luxxsys · 发表于 2007-9-27 11:57:38

老兄你不是已经发过一次了啊，上次不是大家都说是伪造么，还没有查出来啊。。。

这次的工程是新的吗？

菜鸟人飞 · 发表于 2007-9-27 15:00:43

从数据包来看，并无明显ARP攻击的痕迹。
建议楼主不要使有ARP防火墙，其实ARP防火墙本身就是使用ARP工作原理，它本身也算得上是一种攻击。
楼主提到的不知道是谁的MAC地址，有可能是伪造出来的，此伪造攻击并不一定是ARP攻击，楼主可采用论坛中相应的查找伪造地址的方法进行查找。

luotao251 · 发表于 2007-9-27 15:16:43

楼主图中MAC为：00-14-78-DC-F8-76的电脑可能是来自外网的。如附图
两个IP来源分别是山东和天津。
电信服务商DNS无法PING通，可以PING一下电脑辅助DNS试试，有时电信主DNS可能出问题。另外平时电信DNS是否能PING通呢？有的地方可能也会禁PING。像我们这里的一个月以前是可以PING通的，现在总是：request timed out。
楼主网络不稳定，时断时好的话，可以统计一下断线的时间是否有规律。有时把故障现象精确描述出来问题也就解决了一半了。

bingxuelin · 发表于 2007-9-27 17:32:53

这个是新抓的数据包，另外补充一下，219。146。0。130 还有219。150。32。132是我们电信服务商提供给我们的DNS
平时这两个DNS我一直都PING 219。146。0。130这个IP，一直都可以PING通，而路由器192。168。1。1因为路由器的设置一直无法PING通，
难道是因为电信服务商那边的问题而引发的ARP攻击？
平时公司断网没有什么规律，偶尔ARP防火墙会在一次攻击提示有3~4次的ARP欺诈广播，无法预计下一次究竟是什么时候还会有ARP攻击。
且在我防火墙有提示的时候常附近的同事就反映网络无法连接。比较头疼，不知道是怎么回事。还得请求牛人帮忙分析下
前两天曾经想挨台电脑断网来检查，但是ARP攻击无法预计究竟是什么时候会有，所以该方法基本上没什么作用。。。我越来越怀疑是来自外网的攻击，（特别是韩国总部的电脑）因为我们和总部设有虚拟局域网，但是又没有证据）

[ 本帖最后由 bingxuelin 于 2007-9-27 17:39 编辑 ]

luotao251 · 发表于 2007-9-28 08:40:32

VLAN国外公司内的电脑问题可能会导致楼主国内公司网络出现断网。楼主可查一下国内路由器对内网和对外网的两个IP地址和MAC地址。国外路由器对内网和对外网的两个IP地址和MAC地址，共四个IP地址和四个MAC地址，提供出来供大家参考。
ARP攻击的广播风暴是不会跨过VLAN的，从楼主所提供的数据包来看，不像是ARP攻击。
另外楼主两篇发贴信息既分散又有诸多重复，给大家的分析带来不便。这说明楼主心比较散乱，要找出问题根源可能会比较因难。静下心来可能就会找到一些线索了。