CSNA网络分析论坛»首页 流量分析 网络分析 求救!急!arp请求风暴
返回列表 发帖
查看: 2428|回复: 14

求救!急!arp请求风暴

[复制链接]
silamuwang
发表于 2007-4-11 10:22:47 | 显示全部楼层 |阅读模式
该网段内arp请求风暴的主机怎么这么多台,这些电脑昨天我都重做了系统,今天还是造成arp请求风暴,请高手帮忙分析一下。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

tyh2000
发表于 2007-4-11 10:51:34 | 显示全部楼层

回复 #1 silamuwang 的帖子

你的网关是什么机器啊。查一下源IP地址: 192.168.0.1  [28/4]
回复

使用道具 举报

silamuwang
 楼主| 发表于 2007-4-11 11:01:53 | 显示全部楼层
网关是192.168.80.254    ,192.168.0.1是我们厂的数据库服务器
回复

使用道具 举报

tyh2000
发表于 2007-4-11 11:07:28 | 显示全部楼层

回复 #3 silamuwang 的帖子

就查192.168.0.1,可能中毒了。
回复

使用道具 举报

silamuwang
 楼主| 发表于 2007-4-11 11:20:39 | 显示全部楼层
老兄,192.168.0.1主机是sun服务器,solaris系统,中毒的可能性是不是很小啊,问题是192.168.80.3;
192.168.80.4;192.168.80.5这几台怎么狂发ARP请求.
回复

使用道具 举报

tyh2000
发表于 2007-4-11 11:31:04 | 显示全部楼层

回复 #5 silamuwang 的帖子

不好意思,看错包了。
你即然已看出这三台机器有问题,就查这三台机器。这三台机器肯定有问题,中毒了。

应该还有一台机器。是192。168。80。2,你也得查查。

[ 本帖最后由 tyh2000 于 2007-4-11 11:35 编辑 ]
回复

使用道具 举报

silamuwang
 楼主| 发表于 2007-4-11 11:38:34 | 显示全部楼层
可是这三台是我昨天加班重做过系统的,我找不到什么好的杀毒软件,只好重做,今天怎么又出现问题了,我都快郁闷死了.
兄弟,对于这些出问题的主机,除了重做,还有没有其他更好的办法.

我现在采取的措施是把这些主机断开,然后再挨个查,谁知断开之后,有出现了另外一台狂发ARP请求,感觉这个网段的每个电脑都有问题,也不知道会不会是二层交换机有问题了.

[ 本帖最后由 silamuwang 于 2007-4-11 12:05 编辑 ]
回复

使用道具 举报

tyh2000
发表于 2007-4-11 12:14:20 | 显示全部楼层

回复 #7 silamuwang 的帖子

一般不需重做啊。你把有问题的机器断网后,再查进程。关掉进程后再删掉那些程序就可了。
要用到一些安全检查工具。
比如icesword、RootkitRevealer等。
二层交换机不会发生这个问题。
回复

使用道具 举报

liao521
发表于 2007-4-11 16:16:15 | 显示全部楼层
没什么,安装一个ARP防火墙,www.antiarp.com
回复

使用道具 举报

silamuwang
 楼主| 发表于 2007-4-11 19:34:55 | 显示全部楼层
antiarp是很好用的,我装上之后,该网段便不再频繁掉线了,但是它只是屏蔽了主机内可疑程序向网络发的广播包,并不能根除这些间谍、木马。
同时我也采取了tyh2000的方法,用icesword、RootkitRevealer、木马杀克等工具查进程,删程序。可是我没有在这些电脑上发现可以进程。请教有没有更好的方法和工具。
其中有一台是我昨天刚做过系统的主机,装上antiarp,显示发送arp广播包特别多,按理分析可能是中毒了,可这台电脑做完系统还不到一天,另外我在这台主机上抓了一些包,请高手帮我分析分析,谢谢。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

tyh2000
发表于 2007-4-12 09:32:07 | 显示全部楼层

回复 #10 silamuwang 的帖子

这么告诉你吧。网络分析软件只能帮你分析出问题,如工程 1.rar文件分析后,有几台机器确实有问题。你也看得出来。肯定是中了病毒。或者是被人用工具在扫描等。真正解决还是得分析你的电脑,倒底出了什么问题。
你这儿是网吧么,还有有没有杀毒软件。你是用的什么杀毒软件啊。把你配置说清楚。
不需要象你这样重装机器的。网吧里是比较难管的,因为每个人上网时可能要下载文件,或玩游戏时用的挂件,还有看电影时也有很多广告等,都会导致感染病毒。我建议你在机器上可以安装奇虎360,这个还可以,设置好一点,打好补丁。更重要的是对系统要一些必要安全措施。

[ 本帖最后由 tyh2000 于 2007-4-12 09:37 编辑 ]
回复

使用道具 举报

silamuwang
 楼主| 发表于 2007-4-12 12:52:05 | 显示全部楼层
首先谢谢tyh2000的关注和帮忙,我们这不是网吧,是一个公司内部的一个网段,360早就装上了,系统漏洞补丁也都装上了,用的是企业版的诺顿,防护措施做的还行,网段内有十几台机器,三台可以上外网,另外还装了北信源的网管软件,我昨天装上antiarp后,今天上午我又用torojn hunter查了一编,网络到目前为止还很正常。不过个别电脑antiarp显示频繁对外攻击,但是这些电脑我没有查到什么病毒或木马。
回复

使用道具 举报

tyh2000
发表于 2007-4-12 13:20:32 | 显示全部楼层

回复 #12 silamuwang 的帖子

这样子,如果再发现网络断线,你就抓包吧,分析找到哪台机器,你就用奇虎看一下。
回复

使用道具 举报

silamuwang
 楼主| 发表于 2007-4-12 16:52:29 | 显示全部楼层
再次感谢tyh2000的帮忙!
回复

使用道具 举报

zealotcc
发表于 2007-4-12 19:47:03 | 显示全部楼层

呵呵!有意思啊

80.4 很有意思啊,不停的换端口连接其他主机,而且是一套规范动作,先是udp,然后icmp(无法到达也继续tcp连接),接着tcp syn,3次被重置就换端口了,不知道是不是病毒
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表