何为who has 1.1.1.1 tell 192.168.1.1？

Hell-Phantom · 发表于 2010-6-8 18:35:41

本帖最后由 Hell-Phantom 于 2010-6-9 11:55 编辑

具体情况

设备数量：80台
拓扑模式：电信10M光纤---磊科NR255企业级宽带路由器（5口）----2台H3C S1024交换机
                                                      |\__二楼1台H3C S1024交换机
                                                      |\__二楼1台水星MR24无线路由器
                                                      |
                                                      |___IBM服务器

故障描述：疑似遭受ARP攻击，内网ARP数据包发送量过大，造成网络拥塞，延迟居高不下，测试访问百度速度达到每秒100ms左右。但下载速度正常，可达600K以上，网页开启速度还行，内网一半机器采用诺、顿企业版安全防护软件，但只要开启“网络威胁防护”功能，则无法访问Internat。安装金山贝壳ARP防火墙，频繁提示受到ARP攻击，但查不到具体攻击源，路由器无后台管理密码，无法做双绑定，交换机纯傻瓜，无法查看MAC地址表，使用科来网络分析系统+WireShark抓包分析发现大量ARP请求数据造成的广播风暴,疑似在探测网络结构。但查询发现本地MAC地址表中的路由器IP与MAC地址都是正常的对应关系（MAC地址确实是路由MAC），没有被欺骗的迹象。所以怀疑是否有其他问题造成如此结果

在WireShark抓包中，5分钟时间抓到28000左右ARP数据包，ARP数据包数量已经严重不正常，且几万个数据包内容都为who has 1.1.1.1 tell 192.168.1.1，令我费解，请各位大师详解。

saibei · 发表于 2010-6-9 06:29:08

内网而已流量过大
关闭部分电脑再分析

long_323 · 发表于 2010-6-9 08:55:36

192.168.1.1是网关么？查看这种应答arp的源MAC，是否是路由器MAC，是否存在不断变化等情况。
如果是路由器发出的，那就要查找路由器为什么出现此种应答了

Hell-Phantom · 发表于 2010-6-9 12:00:29

路由器MAC没问题，192.168.1.1是网关本地ARP缓存表网关MAC正常，无频繁变化，二楼水星无线路由LAN口IP为 192.168.1.100

我把它当AP用的。

----------
根据分析，这些大量的请求类型ARP数据包就是路由器发出来的，用科来也扫描出大量的ARP广播风暴，都是 Request类型数据。

我现在准备把路由器所有连接都断掉，然后只保留交换网路，把我自己IBM服务器也接到交换网络取抓包分析。再不行我就去换设备了。

何为who has 1.1.1.1 tell 192.168.1.1？

评分