各位帮忙看看，我的网络中倒底是哪台机器有问题了

hboy1223 · 发表于 2007-12-25 12:02:29

工程.rar (330.27 KB, 下载次数: 29)

工程2.rar (702.79 KB, 下载次数: 24) 这是时间更长一些的监控工程，应该能提供更多的信息吧

我的小网络中存在很多的ARP发包，回复却很少，而且很多机器都在发！这些机器都装有KV网络版，大部分也有360，而且在网关上做了ARP绑定，可还是有很多的包，经常有机器PING网关通，PING  DNS却不通，造成断网，应该是被伪造了MAC地址吧！
还有一个MAC地址  00-04-61-1c-9e-3f  这个地址在我的IP-MAC表里是没有的，通过科来协议分析那里看到这个地址对应的IP为192。168。1。36，也是我这里不存在的，应该如何找到这台机器，只能一台一台的去看吗！查的时候是否一定能查到呢！
还有一点要说明的！我这里的网络划分了一下VLAN，就是用的480划分的，第1个口是我们单位的内网，第3口是外单位的，现在用第2端口监控的第1端口流量！在内网的范围内，除服务器、网关、杀毒服务器、网打外，IP应该是是192.168.1.10——35之间

192.168.1.111  是我的网关，为一部TP LINK 480T的宽带路由
192.168.1.199  是一台文件服务器，用的是2003 server

[ 本帖最后由 hboy1223 于 2007-12-25 15:04 编辑 ]

hboy1223 · 发表于 2007-12-25 12:25:45

自己沙发，没人看呀

lbzxy · 发表于 2007-12-25 13:09:43

请问楼主的网络结构是怎样的？软件好像没有部署正确。
另外，检查一下你装的KV是否开启了ARP防御功能，如果是的话，建议关闭。
如果确定有伪造的MAC和IP攻击，那建议你断网检查（网络规模不大的话）。
论坛中也有关于如何查找伪造地址攻击的帖子，楼主可以搜索一下。

oldjiang · 发表于 2007-12-25 14:32:40

诊断视图，可见192.168.1.25机器有ARP扫描，他的请求数据报有规律，比如谁是 192.168.1.7? 告诉 192.168.1.25、谁是 192.168.1.107? 告诉 192.168.1.25、谁是 192.168.1.207? 告诉 192.168.1.25

hboy1223 · 发表于 2007-12-25 14:36:50

确实，IP为25的机器确的ARP攻击，KV网络版是没有ARP防火墙功能的！360的ARP防火墙似乎也只是绑定网关而已！网络的拓普很简单，最上层网关（路由），下设一台主交换机，主交换机下接4台分交换机，用于接入！单位外的网络单独一部交换机，直接接到网关的3口上！

我把25的机器断网后依然存在大量的ARP请示包，不知为何！

ycltkj · 发表于 2007-12-25 20:12:03

这样看局域应该不只是一台机器在发ARP数据包，如果机器不多的话，你可以分段处理一点一点检查！

oldjiang · 发表于 2007-12-25 20:36:35

从工程2来看，192.168.1.22机器的发包数量是最多的，本地子网发包7311个，他就发了6903个，在相对时间01:24:17，一秒钟内就发了50多个包，目标是224.1.1.1:6666，应该是组播包

oldjiang · 发表于 2007-12-25 21:26:39

192.168.1.21每隔6分钟就对192.168.1.255:7273－7282扫描（不知用词是否准确）两次，两次之间间隔6秒，很有规律。访问广播地址的端口是什么意思呢？

oldjiang · 发表于 2007-12-25 21:32:24

192.168.1.255的UDP会话，可见：
节点1: IP地址 = 192.168.1.255, UDP 端口 = 7281瑞星
节点2: IP地址 = 192.168.1.21, UDP端口 = 1490
RisingSearchAgentPos
21是瑞星杀毒服务器？

hboy1223 · 发表于 2007-12-26 09:14:59

21的机器并非瑞星杀毒服务器，单位的杀毒服务器用的是江民系统，地址是120的那部机器！
不知为何网内有大量的广播包存在，还有就是我这里总是有几部机器在访问组播，而且产生“IP包生存周期太短”的事件！

22的那部机器经常断网，但重启次路由又没有事情了！

oldjiang · 发表于 2007-12-26 12:02:58

“我这里总是有几部机器在访问组播”，用NETSTAT -NAO -P UDP看看是哪个程序