关于arp风暴的疑问

ntjxad

今天早上打开科来查看一下内网的数据包，发现一个奇怪的问题。在“按ip端点浏览”项点诊断发现报局域网内存在arp请求风暴，然后根据事件描述定位到源地址(192.168.0.2)，确实有大量的arp请求包。

现在存在的问题是：
1 在定位的主机上(192.168.0.2)用了趋势arp专杀工具，然后还装了360arp防火墙，可是在“按ip端点浏览”上点诊断依然会报arp请求风暴。
2 在“按ip端点浏览”下面的任意项比如本地子网，私有网络等项目上点诊断都没有报存在arp请求风暴。而且直接在本地子网中找到刚才定位的电脑(192.168.0.2)抓包根本没有arp请求了，回到“按ip端点浏览”,依然存在arp请求风暴，而且根据事件中的源定位到主机(192.168.0.2)却又发现了大量的arp包，是不是这两次定位的不是一台电脑，但为什么mac地址和ip都是一样的呢？

请大家指导！！！谢谢

oldjiang

1、ARP是二层协议，所以“按ip端点浏览”的子项无此诊断事件。打开一个以前收集的ARP包，图中的六个节点有ARP诊断事件。但为什么按ip端点浏览这个节点有，我也不理解。

2、感觉你是在两台机器上分别抓包，即先在某个机器上抓包有ARP，随后在192.168.0.2上抓包无ARP，接着又看第一个包，包的数据肯定还在。处理了192.168.0.2后在第一个机器上重新抓包还有ARP吗？

ntjxad

一直都在连接镜像口的机器上抓包，并没有停止，而且看时间可以判定数据包是新的

oldjiang

我举个例子，抓包发现某个机器有ARP，把那个机器关了，但数据包就像历史数据，相关的数据包还在，即使持续抓包超出了缓存，相关的数据包被冲掉了，可能诊断事件还在，直至重新抓包。1#抓包的过程不太看得懂，你能否分步描述一下？

ntjxad

具体操作步骤是：每天上班的时候开启科来，数据包设置成只保存当天的数据，然后打开已经建好的工程，系统会提示是否清除已有的数据，点击是，开始抓包。每天下午下班就关闭科来并保存工程。

请版主指点！谢谢

oldjiang

“数据包设置成只保存当天的数据”，我的交流版没这个选项。
“然后打开已经建好的工程”，为何不直接点开始？有过滤器等设置？
说到这里，都不明白你的问题了。不会每天抓包都有而且是同一个机器有arp风暴吧？3#说“而且看时间可以判定数据包是新的”，看的是ARP数据包的绝对时间？

[ 本帖最后由 oldjiang 于 2008-5-14 11:28 编辑 ]

ntjxad

1、我用的是专家版，
2、设置了过滤器和名字表
3、看的是绝对时间。
另外想请教一下有什么好的杀arp方法吗？用了趋势专杀，装了360arp防火墙，可是依然有风暴！
请指教，谢谢

oldjiang

杀ARP的不清楚，防ARP可以参考http://www.csna.cn/forum.php?mod=viewthread&tid=8850
192.168.0.2那个机器是不是装有ARP类的软件，比如P2P终结者、聚生网关、ARP防火墙之类的
每天都发现这个机器有ARP请求风暴吗？要是我就把它重装了。

[ 本帖最后由 oldjiang 于 2008-5-14 12:11 编辑 ]

ntjxad

系统已经重新装过了两遍，都是不到半天就满屏的arp请求包了

oldjiang

每次都是这个机器，估计跟用户的使用习惯有关，比如上网或安装软件造成中毒。重装之后要求用户一天不能上网、不能安装软件（或者在防火墙、路由器上限制他上网），看看还有无ARP，如有，可能是被局域网其他机器感染的。第二天，开一个科来设过滤器监控他的上网记录，如果有ARP，根据数据包的时间，看看前后上了什么网站，下载了什么软件。或者干脆镜像192.168.0.2机器用的端口，看看究竟在干啥。

[ 本帖最后由 oldjiang 于 2008-5-14 16:19 编辑 ]

ntjxad

好的，谢谢指点。马上试验