CSNA网络分析论坛»首页 流量分析产品区 科来产品 提示 ARP 太多无请求应答 请帮忙看看 已上传包包 ...
返回列表 发帖
查看: 4570|回复: 8

提示 ARP 太多无请求应答 请帮忙看看 已上传包包

[复制链接]
5544887799
发表于 2007-1-18 13:04:19 | 显示全部楼层 |阅读模式
数据包信息:
    数据包编号:                              016397
    数据包长度:                              64
    捕获长度:                               60
    时间戳:                                2007-01-18 12:56:18.201989
以太网 - II                                [0/14]
    目标地址:                               FF:FF:FF:FF:FF:FF  [0/6]
    源地址:                                00:3C:01:50:316  [6/6]
    协议类型:                               0x0806  (ARP)  [12/2]
ARP - 地址解析协议                            [14/28]
    硬件类型:                               1  (以太网)  [14/2]
    协议类型:                               0x0800  [16/2]
    硬件地址长度:                             6  [18/1]
    协议地址长度:                             4  [19/1]
    操作类型:                               2  (ARP 响应)  [20/2]
    源物理地址:                              00:3C:01:50:316  [22/6]
    源IP地址:                              192.168.1.120  [28/4]
    目标物理地址:                             FF:FF:FF:FF:FF:FF  [32/6]
    目标IP地址:                             192.168.1.110  [38/4]
额外数据:                                   [42/18]
    字节数:                                18 bytes  [42/18]
FCS - 帧校验序列:
    FCS:                                0x0D772481  (计算出的)

[ 本帖最后由 5544887799 于 2007-1-18 14:38 编辑 ]
回复

使用道具 举报

KelvinFu
发表于 2007-1-18 13:30:47 | 显示全部楼层
从你粘贴的数据包解码信息,只能知道这是一个不正常的ARP响应数据包,正常的ARP响应数据包包应该是一个单播数据包!

只能推测你的网络可能存在ARP攻击,但不能进行具体定位!

你可以使用科来网络分析系统将捕获的数据包保存下来,并发到论坛上来。

[ 本帖最后由 KelvinFu 于 2007-1-18 13:32 编辑 ]
回复

使用道具 举报

5544887799
 楼主| 发表于 2007-1-18 13:45:33 | 显示全部楼层
非常谢谢斑竹  

还是请帮忙看看  我的网络有什么问题

请斑竹赐教

工程 2.rar

902.95 KB, 下载次数: 35, 下载积分: 魔法币 -3

包包
回复

使用道具 举报

5544887799
 楼主| 发表于 2007-1-18 14:48:11 | 显示全部楼层
实在是搞不懂  
是ARP攻击
还是我的 路油器  启用ARP欺骗防御
回复

使用道具 举报

菜鸟人飞
发表于 2007-1-18 16:32:02 | 显示全部楼层
数据包来看,在1分43秒的捕获周期中,产生了大量的ARP回应数据包,而ARP请求数据包比较少。

在ARP回应数据包远远大于ARP请求数据包时,可能的情况有以下两种:
1.网络中存在ARP欺骗攻击
2.网络中的网关设备启用了防ARP欺骗功能

具体查看ARP数据包,发现数据包的源MAC是00:3C:01:50:31: D6,且内容都是向全网广播,告诉自己是192.168.0.120,以此我推测该数据包可能是你的网关设备(路由器)发出。

再详细查看数据包的时间差,发现每个ARP回应数据包的间隔时间基本都是20毫秒,如此有规律的发包,更表明可能是网关设备发出。

你的网关配置的是192.168.0.120吗?如果是,则表明网络中的大量ARP回应数据包,为你的网关发出,其目的主要是防止ARP欺骗。但如此过于频繁的发包,实际上已经产生了过多的冗余数据包,严格来讲已经属于一种ARP攻击,故科来网络分析系统的诊断事件中给出了ARP太多无请求应答的信息。
回复

使用道具 举报

tezhb
发表于 2007-1-19 01:30:03 | 显示全部楼层
认真的说,路由的ARP防欺骗功能并没有太大作用,反而会影响到最后病毒机器的定位查找.
这种防欺骗的作用只能让被攻击的机器掉线然后马上恢复,如果是网吧里基本上别营业了,因为这个防护方式会让少数的网络游戏玩家掉线,这个对网吧的经营非常不利.
建议把路由的防欺骗功能关闭.一旦出现全部上不了网的情况可以用科来马上检查出ARP攻击源
回复

使用道具 举报

oldhen
发表于 2007-1-19 10:25:25 | 显示全部楼层
我是这么读你的工程的。

打开工程,点击协议页。可以发现ARP协议的response和request不成比例。

直接双击arp协议,查看协议细节。可以发现102.168.1.120这个地址。

一般来讲,我会直接把这台机器拿来格了重装。西西
回复

使用道具 举报

harker
发表于 2007-1-23 10:46:41 | 显示全部楼层
老大斑竹分析的全面,准确,支持,顶。。。
回复

使用道具 举报

liujj0601
发表于 2008-9-3 11:31:52 | 显示全部楼层
我也碰到了类似的问题,好麻烦啊
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表