出租屋局域网问题！ARP格式违规？

reedyan · 发表于 2010-7-19 11:36:15

拓扑如下：
6M电信MODEN--Boc R610路由器--TP link交换机
---------------------------------------------------
根据房东说，满的话有30人左右分，上网是在路由器那绑定MAC地址。
现在状况是，上网极不稳定，而且ping 百度的延时超大，我打开ARP防火墙的时候不停有截获ARP攻击。
数据是在本机上截取的，192.168.10.1是路由地址，192.168.10.35是本机地址。
主要是诊断那出现一个ARP格式违规的问题，初步认定是ARP攻击，麻烦大家看看。

long_323 · 发表于 2010-7-19 12:57:57

LZ分析的很正确，网络中存在arp攻击。00:B0:C0:00:1A:AF 这个是网关MAC么？现在外出的流量都是经过此mac出去的。00:E0:4C:59:00:5B (192.168.16.72)在扫描主机。
00:B0:C0:00:1A:B1 这个MAC在发送格式违规的arp。
LZ也可以用科来的mac地址扫描器，去扫描一下这个网络，看以上的mac是否存在，是否对应了IP，然后针对IP就可以有理有据的去找他算账啦，哈哈。
arp -d
arp -s 暂时解决下吧！

reedyan · 发表于 2010-7-19 14:05:21

LZ分析的很正确，网络中存在arp攻击。00:B0:C0:00:1A:AF 这个是网关MAC么？现在外出的流量都是经过此mac出去的。00:E0:4C:59:00:5B (192.168.16.72)在扫描主机。
00:B0:C0:00:1A:B1 这个MAC在发送格式违规的arp。
...
long_323 发表于 2010-7-19 12:57

00:B0:C0:00:1A:AF这个是网关MAC，至于这个00:B0:C0:00:1A:B1好像是某一台机伪造的网关MAC，还有就是22和72这2台机不停的扫描，不知道是不是有问题。

小白菜 · 发表于 2010-7-19 23:52:00

改为静态路由绑定MAC地址非法的MAC会自动过滤

飞天哈哈 · 发表于 2010-7-21 07:00:41

学习了啊啊哈哈哈哈真的

sam.chen · 发表于 2010-7-26 11:15:12

楼主抓的都是广播和本机的包，如果能抓到全网的可能会有更多的问题出来。

宽宽 · 发表于 2010-10-13 13:53:03

学习一下经验

出租屋局域网问题！ARP格式违规？

本帖子中包含更多资源