号外！号外！典型ARP请求风暴！

lingyungong79 · 发表于 2006-11-29 08:24:36

自从偶这个大嘴鳄鱼安装学习科来一个多月后一直没得到实践----公司网络都没出过问题，心里特不是滋味。但是半个小时前，偶听到三楼有电话打下来，说是连接不到服务器的ERP系统，偶就上去瞧瞧，还没瞧出什么问题就听到到处都有人在叫，说是网络挂了。吓得偶赶紧下来，重启服务器后又重启路由器，交换机等，重启后就好了一会，但还没来得及高兴，又听到有人说网络不行了。这不是吓偶吗？！
偶终于使出偶最后的法宝，打开科来，嘿嘿，大家猜怎么着，发现问题了。
“INTERNET----ADSL MODEN----路由（192.168.0.*）----交换机（N个）“----没有画图工具，唉~
接入地点为路由下第一个交换机（知道部署得不对，但没办法，故障马上要处理且没有本本，唉），结果运气好，居然采集到故障电脑的数据报。

[ 本帖最后由 lingyungong79 于 2006-11-29 08:27 编辑 ]

lingyungong79 · 发表于 2006-11-29 08:31:46

说句心里话，如果没有科来的话偶估计至少需要3个小时到4个小时的时间才有可能找出问题（断开各个交换机慢慢测试），结果偶只用了3分钟不到就搞完了。科来万岁啊！大家有空下载下去帮偶瞧瞧哦~

天蓝 · 发表于 2006-11-29 09:37:57

大嘴厉害哈，顶一下，下载下来瞧一瞧。

天蓝 · 发表于 2006-11-29 09:53:16

我帮LZ把工程文件给打开了，这样方便于大家查看。

从下面的视图中，可以看到，

发起ARP攻击时间是15点18分48秒，
事故是ARP请求风暴，
ARP请求风暴是20秒钟内，ARP请求包超过10个。其实我们从截图看到，实际请求的数据包为534 +1117= 1651
而采集的时间为：1分1秒，1651(个)/61(秒)=27(个/秒)ARP数据包
攻击者的IP是：192.168.0.112
攻击者的MAC地址是：50:78:4C:70:F2E

ghostorc · 发表于 2006-11-29 10:31:16

楼主的科来安装接入不太正确!

lingyungong79 · 发表于 2006-11-29 16:55:17

今晚打老虎 · 发表于 2006-11-29 17:08:53

是不是用专家诊断啊？

没有技术含量，鄙视一下，嘿嘿

不过专家诊断太方便了

[ 本帖最后由今晚打老虎于 2006-11-29 17:23 编辑 ]

jxj0918 · 发表于 2006-12-20 21:59:29

哈哈.大菜鸟哥可否加我....QQ啊597064096...我们学习学习.

sukatan · 发表于 2006-12-23 18:26:31

哈哈。。。楼主公司的网络跟我们公司的都一样哦。。不过我们公司没有用ADSL而是用光纤专线接入。。。这几天我都在被ARP搞得头都爆啦。。。在科来里看到有那些机子发ARP就不停得打电话。。。我也是初初认识科来的新手有空一起学习学习

bjxuzhun · 发表于 2006-12-23 22:29:39

我也是初用科来,还在学习中.谢谢了.

e_alexhong · 发表于 2007-1-25 11:43:21

小问一下！
这个正常吗！

KelvinFu · 发表于 2007-1-25 13:18:23

to: e_alexhong

从你提供的图片中，可以推测你的网络很大可能存在ARP攻击！

你可以在诊断事件下面的相关数据包中，定位到具体的地址进行分析！

[ 本帖最后由 KelvinFu 于 2007-1-25 13:22 编辑 ]

lingyungong79 · 发表于 2007-1-25 13:53:33

其实这个掉线原因分析是错误的，当初不是很了解，后来因为一些原因（爱面子）没敢解释而已。ROY说得对，ARP攻击对网络不会有太大的影响，除非是ARP欺骗。
ARP欺骗为网关的话会引起大面积（个人理解）掉线，如果不是，那就仅为被欺骗机子掉网。

偶不是很诚实，但应该承担责任，不要误解了太多的网友了。
但ARP攻击分析是正确的。

lingyungong79 · 发表于 2007-1-25 14:17:00

上帖所说ARP欺骗为单向欺骗（个人理解），具体请看偶强烈推崇草版原创
http://www.csna.cn/forum.php?mod=viewthread&tid=1311

chinawxt · 发表于 2007-2-12 11:05:40

学习中历史信息有问题

linberd · 发表于 2007-3-21 17:09:36

顺便也帮看看，这个正不正常了。谢谢！

skyer_upc · 发表于 2007-3-21 17:54:29

原帖由 lingyungong79 于 2007-1-25 13:53 发表
其实这个掉线原因分析是错误的，当初不是很了解，后来因为一些原因（爱面子）没敢解释而已。ROY说得对，ARP攻击对网络不会有太大的影响，除非是ARP欺骗。
ARP欺骗为网关的话会引起大面积（个人理解）掉线， ...

请问，掉线的最后原因呢？
个人觉得你前边分析的没有什么错误啊？

enjoycool · 发表于 2007-3-25 18:58:52

是了，想问一下。ARP风暴科来是找到了风暴的主机，只是解决了一时的问题，如果常有主机中了呢，
天天这样跟，不累呢，有没办法解决掉这个ARP风暴呢？？
有没高人指点一下~~~~~~~~~~~~~

lingyungong79 · 发表于 2007-3-26 10:16:08

ADSL线路不稳定。

lingyungong79 · 发表于 2007-3-26 10:29:40

原帖由 enjoycool 于 2007-3-25 18:58 发表
是了，想问一下。ARP风暴科来是找到了风暴的主机，只是解决了一时的问题，如果常有主机中了呢，
天天这样跟，不累呢，有没办法解决掉这个ARP风暴呢？？
有没高人指点一下~~~~~~~~~~~~~

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------老有人问这个问题，就偶个人的理解来说是这样子的，ARP扫描，欺骗以及攻击等都是因为病毒或是网络攻击等引起的，解决办法应该不难，即时杀光木马和病毒后打上所有的补丁，安装调试好防火墙规则（相当重要，端口控制！不允许PING进和PING出）关闭IPC$共享，关闭远程路由等不需要的服务，给用户设置一个复杂点的密码，基本上能防范绝大多数问题了。如果还会中，那中国80%的电脑都会挂了，你也完全可以交差了。
另，用科来，反复抓包，抓到一台照上面处理办法修复一台，三天基本能搞定200台电脑吧。
而且以后就可放心大胆地去玩了。嘿嘿~随口说的，有意见提，鸡蛋扔，反正偶马上改行去卖大白菜了！

lingyungong79 · 发表于 2007-3-26 10:31:02

用好一点的杀毒软件，推荐卡巴或江民。

lingyungong79 · 发表于 2007-3-26 10:56:41

哦，还有一事，如前，补丁问题，要自己多想一下哈。你的系统里面有那些软件如SQL SERVER等都要记得打补丁，不只是操作系统，现在很多渗透攻击等都是利用其他软件了。

lingyungong79 · 发表于 2007-3-26 16:03:10

关GUEST帐号。

blue8f · 发表于 2007-3-26 22:16:56

学习一下学习一下

enjoycool · 发表于 2007-3-27 00:13:14

原帖由 lingyungong79 于 2007-3-26 10:29 发表

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- ...

大多都是客户机出现扫描和ARP风暴的,客户机都装还原的,我这是用还原卡的.
用科来跟了二个多星期了..
总结了一下...ARP风暴,都是他们不小心上了不明的网站做成的.只要从起那台主机就没事.

我这的客户机,补丁都是打到2006年12月的,最近这里三个月又没什么重要补丁要打??
对于那些发动ARP风暴的主机,,我都从起了,事后用卡吧杀过没事....
因为科来没发过各服务器,有ARP 扫描,ARP风暴,..也用卡吧查过没事就算了..

我在考虑是不是路由的问题,路由用的是BBIagent 路由器软件 2.0.0
什么都防,只是没有说防ARP这东西.

lingyungong79 · 发表于 2007-3-27 10:32:04

原帖由 enjoycool 于 2007-3-27 00:13 发表

大多都是客户机出现扫描和ARP风暴的,客户机都装还原的,我这是用还原卡的.
用科来跟了二个多星期了..
总结了一下...ARP风暴,都是他们不小心上了不明的网站做成的.只要从起那台主机就没事.

我这的客户机 ...

有独立的单纯的ARP欺骗，攻击病毒吗？非手工或网络盗取等手段。

红盟过客 · 发表于 2007-3-27 13:10:37

大家看看科来的说明书上了，上面讲的很清楚了，楼主说的东东，一点技术都没有了。

hz123 · 发表于 2007-5-2 15:38:27

ARP都一些网站和外挂私服特别的多啊

dky198 · 发表于 2007-5-29 00:04:10

那为何在我学校中测得5分钟内就有1万2千多，却不见异常

SuperMAN · 发表于 2007-5-29 09:21:59

原帖由 dky198 于 2007-5-29 00:04 发表
那为何在我学校中测得5分钟内就有1万2千多，却不见异常

有些管理软件，也是采用的ARP原理，并不是所有的ARP数据包都是攻击数据。

号外！号外！典型ARP请求风暴！

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

回复 #17 skyer_upc 的帖子

那为何在我学校中测得5分钟内就有1万2千多，却不见异常