网络某vlan段会间歇性断开，几秒后又自动恢复。

文少 · 发表于 2006-6-4 11:11:48

1：网络拓扑结构如下：
2：网络vlan结构：

现在10.138.208.0/24网段莫名其妙的出现中断，几秒后又自动恢复正常。
应该不是蠕虫，因为我在10.138.208.0网段用软件防火墙检测没有大量的连接。
我现在怀疑有arp欺骗。但一直找不出来！
现在正准备用sniffer和科来系统进行检测！希望能得到各方面朋友的帮助。我QQ46166410。欢迎大家和我联系并帮助！
非常着急！

[ 本帖最后由文少于 2006-6-4 11:21 编辑 ]

ValorZ · 发表于 2006-6-4 18:25:16

vlan怎么划分的？每个子网属于哪个vlan?
ARP是基于广播的，因此只有同一个VLAN才可能互相进行ARP欺骗。
你所谓的中断，能不能描述一下情况？断多少时间，自动好？

icefired · 发表于 2006-6-4 23:53:29

10.138.208.0/24 到 192.168.3.0和192.168.4.0的线路质量有没有问题？

检查STP 配置

jiesen · 发表于 2006-6-5 11:06:15

不知你做的是VRRP还是MSTP ?

文少 · 发表于 2006-6-5 12:35:47

现在有3个vlan，分别是10.138.208.0/24 10.230.2.0/24 10.230.6.0/24
间歇性中断的vlan为10.138.208.0/24段。中断时间没有什么规律，但中断后大概几秒后就很快恢复。有时中断特别频繁！
昨天分析了一天。后来用AntiArp2.0进行守侯，今天一早来就发现有mac欺骗。现在已经处理了那台机器！今天一上午网络正常。从各种情况分析，应该是arp病毒，在那台发arp欺骗包的机器上发现了一个svch0st.exe文件在临时文件夹里，现在还不能确定是什么类型的东西，但肯定是恶意的程序！那台机器有被入侵的痕迹。
前面用sniffer pro没有检测出来，也许是水平不够。然后看了科来的说明，感觉很好，有时间一定要好好摸索一下！

文少 · 发表于 2006-6-5 12:37:23

线路质量肯定没有问题，因为我是在每个交换机上划了多个vlan，如果线路有问题的话，别的网段也应该有问题的！

cwym29 · 发表于 2006-6-6 16:50:12

问题解决了吗？
共享下经验，我的用户有时也有类似的情况，苦闷得很

文少 · 发表于 2006-6-6 18:27:15

好的，等我有时间了我把东西整理上来。

文少 · 发表于 2006-6-8 12:32:49

解决方法：
定位了是arp欺骗后没有抓包，而是直接下载了一个AntiArp2.0（使用Anti ARP Sniffer可以防止利用ARP技术进行数据包截取以及防止利用ARP技术发送地址冲突数据包），运行后在第二天早上发现arp攻击。随后用mac地址扫描器找到攻击的 ip。在其机器上发现被人入侵的痕迹。发现一个svch0st.exe进程在临时文件夹里，肯定有鬼！处理后网络恢复正常！有什么问题可以和Q46166410交流。

libin125_0 · 发表于 2006-6-8 12:54:01

呵呵，这个病毒运行的时候很容易被忽略哈。
我还遇到过名字叫svchsot.exe的病毒，很久都被认为是系统进程而放过了。看来还是要仔细点好~~~~~~~~

网络某vlan段会间歇性断开，几秒后又自动恢复。

评分

回复 #4 jiesen 的帖子

回复 #3 icefired 的帖子

回复 #7 cwym29 的帖子

回复 #8 文少的帖子

评分

网络某vlan段会间歇性断开，几秒后又自动恢复。

评分

回复 #4 jiesen 的帖子

回复 #3 icefired 的帖子

回复 #7 cwym29 的帖子

回复 #8 文少 的帖子

评分

回复 #8 文少的帖子