ARP

bendy_lan

在数据包里的协议出现是ARP，概要是  谁是XXX。XXX。XXX。XXX？谁是XXX。XXX。XXX。XXX
但在诊断里又不出现ARP风暴，这到底是怎么回事呢？是不是ARP风暴还是正常的协议？
谢谢各位帮忙分析一下！

chinaheiyu

请楼主多看下ARP原理就明白了！
http://www.csna.cn/forum.php?mod ... &extra=page%3D1这是相关的贴子，你也可以自己搜索下。很多的。。如不明白，再跟贴吧！

wukongszs

不放心的话可以用arp 检测工具 检测一下~~小工具，效果不错~~

bendy_lan

这个看过，但看不是很懂，能不能说白点？到底是不是有问题？如果有，如何去查找或分析？

只是一个神话

有三种情况,
1.正常情况下一台机器A要和另一台机器B通信时要获取对方MAC地址,所以A会广播一个ARP请求.
2.也是属于正常情况,某些软件(比如科来的MAC地址扫描)在对局域网内扫描.它会向全网广播所有这个IP段对应的IP地址的ARP请求.假设这个IP段是192.168.1.0/24.那它会向网内广播1-254的ARP请求.
3中了ARP病毒,是ARP攻击的前奏.情况和第2种类似.
假设某机器MAC是AFAFAFAFAFAF,IP是192.168.1.1.但在抓包软件里看到的却是MAC为ABABABABABAB,IP是192.168.1.1.则这台MAC为ABABABABABAB的机器很可能是主了ARP病毒.要看是否中了ARP病毒,主要看抓到的ARP响应包.而不是ARP请求包

补充一点,有些ARP病毒使用的MAC地址是假的.所以要通过一些特殊手段去处理.比如使用TAP设备和拔网线法.

[ 本帖最后由 只是一个神话 于 2008-4-12 09:33 编辑 ]

bendy_lan

谢谢楼上的分析！！！

eddyboy

ARP Check这个工具还是挺不错的....可以对ARP进行检测....