这个MAC地址是如何出现的？

clcyc · 发表于 2008-11-26 16:05:24

最近网络老是突然掉线，360的ARP防火墙发现有ARP病毒，提示为"网关欺骗,MAC地址是00:21:27:1E:6F:AE"，，我用科来来捕获数据,
找到00:21:27:1E:6F:AE地址时，发现只有二个内部IP，一个是192.168.1.1，是1网段网关，192.168.101.253是AC设备的IP地址。
但都没发现该MAC是对应哪个IP的。

请问这是什么原因造成的？还请指点，谢谢！

clcyc · 发表于 2008-12-1 09:15:17

孤独的意尹者 · 发表于 2008-12-1 09:17:01

应该是你网关MAC，对应的IP是192.168.1.1以及那些非本网段的IP

clcyc · 发表于 2008-12-1 09:23:36

但网关192.168.1.1的MAC地址不是这个呀，在数据包中看得到192.168.1.1的MAC地址是00-1e-bd-d8-82-4a

xiaoshazi · 发表于 2008-12-1 14:10:24

我从工程文件里分析你的网络划分了多个vlan，192.168.1.0段是你的服务器区，里边有3，4台服务器，设备的ip地址是静态分配的。

我现在有几个疑问，1、你说掉线，是如何掉的？（1）、客户机不能上互联网？（2）、客户机不能访问内网的应用服务器？
2、你的科来是部署在什么地方了？似乎是在通向网关的接口上部署的镜像
3、你上传的数据包数量太大，我找了一中午也没有找到ip：192.168.1.1和mac： 00:21:27:1e:6f:ae。你最好做个有针对性的抓包，并且是在有问题的时候抓包

tangli · 发表于 2008-12-2 01:32:46

我来看看！！！！！！！！！！！！！！！！！！！！！！！1

tangli · 发表于 2008-12-2 01:34:03

你所在的局域网内有人在用网络管于理工具

tangli · 发表于 2008-12-2 01:36:11

可能是网络执法管
也有可能是网络剪刀
P2P终结者

clcyc · 发表于 2008-12-2 10:54:19

原帖由 xiaoshazi 于 2008-12-1 14:10 发表
我从工程文件里分析你的网络划分了多个vlan，192.168.1.0段是你的服务器区，里边有3，4台服务器，设备的ip地址是静态分配的。

我现在有几个疑问，1、你说掉线，是如何掉的？（1）、客户机不能上互联网？（2）、客 ...

汗！这个数据包是包括了出问题的时的数据。客户机也就是掉了一下线，然后又可以重新连入。掉线是互联网这块掉线，但是局域网还是正常
科来是接在中心交换机的镜像端口。
192.168.1.1和00:21:27:1e:6f:ae在我上图上有截图，位置也就是在那上面标注的地方！

clcyc · 发表于 2008-12-2 10:57:14

原帖由 tangli 于 2008-12-2 01:36 发表
可能是网络执法管
也有可能是网络剪刀
P2P终结者

如何用科来发现网络是否有人用执法管或剪刀呢？

xtkt · 发表于 2008-12-2 12:07:09

這一�?的網絡工具包括P2P終結者之�?都是利用ARP欺騙?磉_到目的，所以監控ARP協議一般即可達到目的，安裝了ARP防火�?也能防範。

jesondan · 发表于 2008-12-2 13:07:51

我没有在数据包里找到这个ip的通信量

clcyc · 发表于 2008-12-3 13:54:43

:L :L :L :L :L :L 现在网络总是掉线。QQ也是这样，一下子就掉线，一下子又上线

:'( :'( :'(
这是什么原因造成的？

xiaoshazi · 发表于 2008-12-4 09:08:03

你想让你帮你，也要让别人能帮的了你。大家谁也看不到你的实际的情况，你随便扔出一个几万个包的工程文件就指望别人能帮你找到问题？你要详细的描述你的网络组成情况，都用了什么设备？怎么连接的？你的协议分析仪部署在了什么地方？出问题的时候是单一vlan断网还是所有vlan断网？出问题的时候你怎么做的检测（测试到几个地址的连通性，从你监控的pc到本vlan的网关，到另外一个vlan的一个ip，到出口网关设备的ip，到外网的ip？检测的时候要做出响应的数据抓包。

[ 本帖最后由 xiaoshazi 于 2008-12-4 09:18 编辑 ]

oldjiang · 发表于 2008-12-4 10:17:47

00:21:27:1E:6F:AE，没有数据包了
看交换机mac地址表，这个mac在那个端口

clcyc · 发表于 2008-12-11 08:48:18

我按oldjiang版主所指点的方法，查到了该MAC地址在核心交换机的2端口上，但2端口上接了一个二层交换机。于是我又从二层交换机上去查该MAC是在二层交换机上哪个端口，但是奇怪的是，我在二层交换机上没有查到哪个端口中存有该MAC。我在二层交换机上设镜像端口，用科来来捕获该交换机中的数据，也捕获到了该 MAC 地址，但是它所连接的IP也很多。没办法来判断该MAC是从哪个端口出现的，这个MAC也不是二层交换机的MAC地址。

现在每天360的ARP防火墙都会报受到ARP欺骗。这该如何处理呢？还请各位大侠指点，谢谢！
                                                                                    /  普通交换机
                                                         / 二层交换机－  普通交换机
                                                                                    \  普通交换机
外网－路由器－AC－核心交换机－普通交换机
                                                         \普通交换机

360ARP防火墙报警提示如下：
拦截时间       拦截类型       攻击源IP       攻击源MAC       攻击源机器名       攻击源程序       攻击次数
08-12-09       ARP入侵攻击       192.168.1.1       00-21-27-1E-6F-AE                      13

mark29 · 发表于 2008-12-11 16:16:26

有没有做镜像呀。。。用HUB也可以，，

clcyc · 发表于 2008-12-16 15:13:56

哈哈哈哈哈，终于发现了这台设备。。。是车间的一个部门私自接了个路由器，而这个路由器的IP地址也是192.168.1.1，和VLAN1的网关192.168.1.1冲突。。。并且这路由器还设置了DHCP分配，难怪VLAN1网段中总是报ARP欺骗。。。。。。

把这设备拿掉，问题解决！！！
谢谢各位大侠啦！！！

这个MAC地址是如何出现的？

本帖子中包含更多资源

呵呵

可以参考下

可能是网络执法管

回复 10# 的帖子