ARP请求风暴问题

16684191 · 发表于 2007-4-3 10:17:28

网吧 60台电脑，小局域网，采取的是互联网>>路由器>>交换机（傻瓜型）>>客户端的接入方式，最近发现经常有下面的客户端在广播ARP请求风暴，连续请求过多时，网吧电脑一台一台的陆续掉线。系统是我最新做的，杀毒结果没病毒。用了科来网络分析系统，发现发广播的请求风暴电脑，重启该电脑，问题解决，就不掉线了，可是过不了多久，就换成另一台电脑再次发送请求风暴，网络掉线继续中。。重启继续中（补充说明，网吧采用的是XPsp2系统，补丁至07年2月份，安装的冰点还原单机版6.0）

playerwhj · 发表于 2007-4-3 12:46:37

升级病毒库，查杀木马！！

my9x · 发表于 2007-4-5 12:21:22

关键是顾客上网打开网站或浏览xx网站等随机中的。。。重启后无毒

tyh2000 · 发表于 2007-4-5 13:10:37

抓包上来看看吧。
大家分析一下就知道了。

harker · 发表于 2007-4-5 15:09:02

因为现在好些网站的网页上就注入了ARP攻击程序段，当客户打开该网页的时候就中了病毒，要彻底解决问题，绑定IP地址就可以了。

16684191 · 发表于 2007-4-5 15:48:05

版主能说具体点吗？怎么绑定啊？

tyh2000 · 发表于 2007-4-5 16:30:11

arp -s 网关IP 网关MAC
arp -s 自已IP 自已mac

以后都不会断线了。

jinchoulang · 发表于 2007-4-5 17:33:40

ARP双向绑定+服务器持续发正确的响应广播包

以毒攻毒

16684191 · 发表于 2007-4-6 12:52:22

我的问题，我找到了，可是解决不了，是威金变种，唉，怎么办啊？有没有好的办法解决啊，我打了MS的威金补丁了，可惜，没什么变化，该中毒的时候，还是不能跑，大家也知道网吧如果中了威金，就等于网络休息了，谁有什么好办法啊，请大家帮我想想办法，快一个月了，是新变种的威金。

tyh2000 · 发表于 2007-4-6 13:06:39

我觉得你的问题还是没有说清楚。
一、如果是你第一次说的，老是掉线，网络中的大多数机器都有这个情况。可能是ARP欺骗。
二、如果是你第二次说的，中了“威金”，如果会导致整个网络“休息”，可以对你的所有机器进行IPSEC设置，对内对外屏蔽135、137、138、139、445等端口，即关掉这些端口，避免其它机器受病毒蠕虫攻击，导致整个网络“休息”。
三、我觉得你还是抓包，还有把事件说清楚，大家才能帮你好好解决。

16684191 · 发表于 2007-4-6 16:13:18

从头到尾都是威金惹的祸~可以确认了，中了威金后，病毒机，就不停的对局域网内所有的电脑发送ARP请求风暴，然后就是掉线。怎么解决？

tyh2000 · 发表于 2007-4-6 16:16:54

但是从网上报道威金病毒特征，怎么和你说的不一样啊？？？？

tyh2000 · 发表于 2007-4-6 16:32:24

补充一下，如果如你说的发ARP请求风暴，如果包不是很大，那就可能是对别的设备产生拒绝服务，即dos。导致机器掉线。
可以在机器上安装防dos的防火墙试试。

16684191 · 发表于 2007-4-6 18:30:22

要不我怎么说是威金变种呢和ARP请求风暴，而不是ARP欺骗~

16684191 · 发表于 2007-4-6 20:11:01

感觉也象这种情况，我刚刚发包来着， 17M的包，发不上来这里，怎么办能搞小点？

tyh2000 · 发表于 2007-4-6 20:52:10

打包后还有这么大么。

16684191 · 发表于 2007-4-6 21:03:16

忘记打包了，我先随便发个小的吧，这是正常时候网络情况，我所谓的正常是指没有掉线的情况发生，出问题的时候我会再捉包发上来了，请高手继续关注此贴，

steveyoung · 发表于 2007-4-6 21:17:00

一位前辈曾经说过,解决ARP问题除了双绑,没什么好办法

tyh2000 · 发表于 2007-4-6 21:35:31

发现你抓包没有抓好，只抓了自已的机器进出包，别的机器都是广播包。
你监听方式是有问题的。你最好看一下http://www.csna.cn/forum.php?mod ... &extra=page%3D1，先了解怎么样才能抓到整个网络的包。

16684191 · 发表于 2007-4-6 22:01:41

忘记打包了，我先随便发个小的吧，这是正常时候网络情况，我所谓的正常是指没有掉线的情况发生，出问题的时候我会再捉包发上来了，请高手继续关注此贴，

16684191 · 发表于 2007-4-7 07:39:20

发一个今天早上整改完成的最新包包，请楼上的再帮我看看，接入方式改完，互联网>>>路由器（路由器上带LAN口，我监控网络的电脑直接接在LAN口）>>>交换机>>>客户机

tyh2000 · 发表于 2007-4-7 08:26:29

经过初步分析，发现PC192.168.10.100(MAC=00:E0:4C:B6:27:30)会每隔5分钟突发300左右/秒的ARP请求包。仅这个问题就可以导致网内掉线。
请检查这台PC。

16684191 · 发表于 2007-4-7 13:01:39

原帖由 tyh2000 于 2007-4-7 08:26 发表
经过初步分析，发现PC192.168.10.100(MAC=00:E0:4C:B6:27:30)会每隔5分钟突发300左右/秒的ARP请求包。仅这个问题就可以导致网内掉线。
请检查这台PC。

顶，可是我也没办法，这个问题我也发现了这台电脑是公安软件服务器，它的破软件就在不停的扫描局域网，如果我关掉它的软件，它就不扫了，可是我不能也不敢关啊，除非是网吧不想做了~

tyh2000 · 发表于 2007-4-7 13:08:41

能不能这样处理。
一、它不是每隔五分钟就扫一次么，你看有没有设置的地方。
二、机器ARP缓冲里如果没有arp mac-ip绑定信息，就会发ARP请求。你试一下，在这台机器上做ARP绑定。即把所有机器的mac-ip信息写一遍，如arp -s 其它机器IP 其它机器mac 。看这样设置后怎么样。

16684191 · 发表于 2007-4-7 13:35:09

原帖由 tyh2000 于 2007-4-7 13:08 发表
能不能这样处理。
一、它不是每隔五分钟就扫一次么，你看有没有设置的地方。
二、机器ARP缓冲里如果没有arp mac-ip绑定信息，就会发ARP请求。你试一下，在这台机器上做ARP绑定。即把所有机器的mac-ip信息写一 ...

回答一，五分钟扫一次，没有可设置地方
回答二，我不会设，麻烦你说的详细点，嘿嘿，具体到每一小步的细节

tyh2000 · 发表于 2007-4-7 14:05:05

你网吧里不是有60台电脑么。
那么就在PC192.168.10.100(MAC=00:E0:4C:B6:27:30)机器上设置ARP绑定，把其它59台电脑的MAC---IP的绑定设到这台机器上，就用这个命令arp -s 其它机器IP 其它机器mac ，做59次。如果用命令arp -a 能看到其它的绑定信息就可以了。

这个软件不熟。如果这个软件必须每5分钟发包一次。这个方式就不对了。
如果这个软件是先检查arp缓存里是否有其它机器的arp信息，如有，就不发包了。那上面的方式就有效。

ARP请求风暴问题

抓包上来看看吧。

回复 #6 16684191 的帖子

回复 #9 16684191 的帖子

回复 #11 16684191 的帖子

回复 #12 tyh2000 的帖子

回复 #13 tyh2000 的帖子

回复 #15 16684191 的帖子

本帖子中包含更多资源

回复 #17 16684191 的帖子

本帖子中包含更多资源

本帖子中包含更多资源

回复 #21 16684191 的帖子

回复 #23 16684191 的帖子

回复 #25 16684191 的帖子