CSNA网络分析论坛»首页 流量分析 网络分析 安装科来分析软件后,ARP扫描与请求风暴超多,是什么问 ...
返回列表 发帖
查看: 7290|回复: 13

安装科来分析软件后,ARP扫描与请求风暴超多,是什么问题?

[复制链接]
wowjing
发表于 2011-10-19 15:53:54 | 显示全部楼层 |阅读模式
本帖最后由 wowjing 于 2011-10-24 11:52 编辑

安装科来分析软件后,ARP扫描与请求风暴超多,是什么问题?
环境是:JUNIPER FIREWALL - CISCO 3560 -傻瓜交换机-PC
3560上做镜像,连接笔记本以态网,笔记本还通过无线上网。

ARP 扫描
名字                         物理地址                       IP地址          数量           
FF:FF:FF:FF:FF:FF          FF:FF:FF:FF:FF:FF          -             442         
EC:55:F9:55:24:21        EC:55:F9:55:24:21          -             437    (我的无线MAC)
ARP 请求风暴
名字                         物理地址                       IP地址          数量            
FF:FF:FF:FF:FF:FF          FF:FF:FF:FF:FF:FF          -             4,988         
EC:55:F9:55:24:21          EC:55:F9:55:24:21          -             4,563   (我的无线MAC)         
00:26:2D:84:17:59          00:26:2D:84:17:59          -             157            
00:133:A3:63:1E          00:133:A3:63:1E          -             122            
00:26:2D:97:66:C1          00:26:2D:97:66:C1          -             38

我传到网盘了,链接:http://data.99pan.com/download/348418_17_12409387298259665670.html

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

steve-zhu
发表于 2011-10-19 17:38:34 | 显示全部楼层
你的机器开扫描工具了?如果没有就可能是有蠕虫,其他相关机器也最好排查一下。
回复

使用道具 举报

wowjing
 楼主| 发表于 2011-10-19 18:02:50 | 显示全部楼层
2# steve-zhu

没有开扫描软件,科来用的网卡是有线网卡,
回复

使用道具 举报

wowjing
 楼主| 发表于 2011-10-20 16:13:39 | 显示全部楼层
求被关注!!!
回复

使用道具 举报

3195884
发表于 2011-10-20 21:08:10 | 显示全部楼层
lz你能把包发出来吗?
回复

使用道具 举报

wowjing
 楼主| 发表于 2011-10-21 10:20:24 | 显示全部楼层
5# 3195884

包有16MB,上传不了,留下QQ号,我发给你
回复

使用道具 举报

emptyset
发表于 2011-10-23 23:13:18 | 显示全部楼层
192.168.10.11是什么的IP?主机?交换机?
回复

使用道具 举报

3195884
发表于 2011-10-24 00:42:41 | 显示全部楼层
建议你发到网盘上去 比如115  QQ不常在线
回复

使用道具 举报

wowjing
 楼主| 发表于 2011-10-24 11:21:40 | 显示全部楼层
本帖最后由 wowjing 于 2011-10-24 11:52 编辑

8# 3195884

谢谢提醒:http://data.99pan.com/download/348418_17_12409387298259665670.html
回复

使用道具 举报

wowjing
 楼主| 发表于 2011-10-24 11:53:15 | 显示全部楼层
2# steve-zhu
传到网盘了:http://data.99pan.com/download/348418_17_12409387298259665670.html
回复

使用道具 举报

steve-zhu
发表于 2011-10-24 13:28:15 | 显示全部楼层
10# wowjing 我只看到你的无线网卡在做ARP扫描,14s的时间发了近200个查询。看不到有其他的主机做ARP扫描。
你说过没有用扫描软件,那么有ARP防火墙什么的吗?如果都没有还是要在你主机上找原因。
回复

使用道具 举报

wowjing
 楼主| 发表于 2011-10-25 09:16:12 | 显示全部楼层
本帖最后由 wowjing 于 2011-10-25 09:17 编辑

11# steve-zhu

我开启过360防火墙里的,局域网防护(ARP),莫非它们之间有联系?
我笔记本的有线,接的是交换机镜像端口,这个也有联系?
我没搞懂的是,无线网卡为什么会扫描FF:FF:FF:FF ?
回复

使用道具 举报

steve-zhu
发表于 2011-10-25 09:40:20 | 显示全部楼层
11# steve-zhu

我开启过360防火墙里的,局域网防护(ARP),莫非它们之间有联系?
我笔记本的有线,接的是交换机镜像端口,这个也有联系?
我没搞懂的是,无线网卡为什么会扫描FF:FF:FF:FF ?
wowjing 发表于 2011-10-25 09:16

全FF是广播地址,通常的ARP查询目标地址都是全FF,所谓扫描全FF地址是指你的无线网卡在频繁的广播ARP查询。
频繁广播ARP查询是一些蠕虫或黑客工具的特征之一;但是一些ARP防护工具为了防止ARP欺骗,也会频繁广播ARP查询。
你可以关掉360防护再抓包看看,如果无线网卡没有ARP扫描了说明就是360防护的事儿;如果仍然有扫描发生,那就需要换个好点的杀毒工具好好排查一下了。
回复

使用道具 举报

wowjing
 楼主| 发表于 2011-10-25 11:01:05 | 显示全部楼层
13# steve-zhu

下面链接是关闭360防火墙后的抓包,还是出现了这个情况。哥们可有好的杀毒软件推荐?我用小红伞全盘扫过。
http://data.99pan.com/download/348418_18_11013552888751548847.html
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表