CSNA网络分析论坛»首页 流量分析 网络分析 不知道是不是ARP病毒引起的,小弟被困扰多时,有没有达 ...
返回列表 发帖
查看: 3365|回复: 13

不知道是不是ARP病毒引起的,小弟被困扰多时,有没有达人能帮忙解决下

[复制链接]
mailq_q
发表于 2007-7-10 11:54:07 | 显示全部楼层 |阅读模式
我们公司上外网的网段是172.16.0.1~~172.16.0.254
中间大概有50多台电脑,从上个月开始出现掉线情况。
具体情况是这样:PING不通网关(172.16.0.1),也就是我们防火墙的地址。
                        在开始~运行~CMD 中打ARP -A 发现网关MAC地址变为00-00-00-00。
才开始怀疑是电信问题,后来几天又经常出现这类情况,愈演愈烈。
最后我们发现把光猫和防火墙的跳线从新拔插下,网络恢复正常。
但从根本上解决不了问题,请大哥帮帮忙,看有没有什么办法能从根本上解决问题,谢谢了。

下面是数据包,帮忙分析下,谢谢。

[ 本帖最后由 mailq_q 于 2007-7-12 10:45 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

发表于 2007-7-10 12:59:04 | 显示全部楼层
LZ赏个包来瞧瞧。
回复

使用道具 举报

aibwksdn
发表于 2007-7-10 14:46:22 | 显示全部楼层
v发个图来看看啊...
回复

使用道具 举报

v313376448
发表于 2007-7-10 17:37:18 | 显示全部楼层
传个工程吧,老大,看那个文脑袋都看晕了
回复

使用道具 举报

飘零人
发表于 2007-7-11 17:56:46 | 显示全部楼层
172.16.0.2? 告诉 172.16.0.2
为什么会有这样的ARP广播呢 ???
自己找自己呀
我今天也遇到这样的问题了哈 并且广播找地址的数据多 应答的数据很少
但我的网关MAC地址并没有被修改 并且还是PING不通网关  
继续查找原因中ing....
回复

使用道具 举报

zealotcc
发表于 2007-7-11 22:11:32 | 显示全部楼层
原帖由 飘零人 于 2007-7-11 17:56 发表
172.16.0.2? 告诉 172.16.0.2
为什么会有这样的ARP广播呢 ???
自己找自己呀
我今天也遇到这样的问题了哈 并且广播找地址的数据多 应答的数据很少
但我的网关MAC地址并没有被修改 并且还是PING不通网关   ...


这个是免费arp.0.2是网络中的的何种设备?是否是H3C的?

单从上面的包看,并没有导致故障的迹象,干嘛不传个工程文件上来,不是所有的网络故障都是arp引起的

[ 本帖最后由 zealotcc 于 2007-7-11 22:13 编辑 ]
回复

使用道具 举报

mailq_q
 楼主| 发表于 2007-7-12 10:43:23 | 显示全部楼层
我已经把工程加进去了 这个是临时抓的
关于你们说的172.16.0.2是华为5624交换机
172.16.0.1是我们的防火墙
172.16.0.3和172.16.0.4是3COM交换机


以前发的那个估计好多大大头都看大了 TXT的实在是看起来不爽,今天发个网页式的。麻烦了。

[ 本帖最后由 mailq_q 于 2007-7-12 10:46 编辑 ]
回复

使用道具 举报

chuzl
发表于 2007-7-12 16:33:51 | 显示全部楼层
172.16.0.2的那些包是假的,看看哪个机器的mac是00 0F E2 31 68 55,如果真的有这台机器的话,可能它中毒了,如果没有这台机器的话,挨个断开机器的网线,查到底是哪个机器在发虚假的arp包。看你的内网里机器也不多,可能不用花很多时间。
回复

使用道具 举报

Nelson
发表于 2007-7-12 17:42:39 | 显示全部楼层

~~

楼上的说的lz已经说清楚了。0.2那个地址是分配给了交换机,因为交换机的IP地址是做管理用的,所以如果没有用vty线路登陆到交换机上去的话,该ip地址是不会产生流量的,因此并不是一个假的地址。而交换机的ARP表保存时间是很短的,所以会有大量的ARP request。
lz你的机器装的linux咩?如果你的机器是linux,那你怎么安装colasoft?如果不是linux,unix之类的OS,又没有开RSH服务,为什么你的网关172.16.0.1会一直连你的RSH。
你的网关是路由器还是带防火墙的路由器,还是说用的服务器做了软路由? 仔细检查是否配置有误,否则有可能是一个入侵。

[ 本帖最后由 Nelson 于 2007-7-12 22:11 编辑 ]
回复

使用道具 举报

mailq_q
 楼主| 发表于 2007-7-13 08:07:42 | 显示全部楼层
我的网关是天荣信防火墙,系统是WIN2003

今天早上抓了一张图,看到有172.16.0.255,貌似很不正常,是不是网内存在广播风暴??

[ 本帖最后由 mailq_q 于 2007-7-13 08:21 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

Nelson
发表于 2007-7-13 10:05:58 | 显示全部楼层

~

刚刚仔细看了下工程包,原来RSH是log服务,看来是正常的.
172.16.0.255是广播地址,在你的网络中有NETBIOS,所以是没问题的.
如果你的网络中有两台以上的交换机,那么有可能产生广播风暴,因为我只看到一太交换机产生的STP信息. 但是即便是广播风暴,也不能通过 拔插跳线的方法 恢复网络通信.

在工程包中并没有看到无法与网关通信的情况.最好是抓一个问题发生时候的包.
回复

使用道具 举报

lqfie
发表于 2007-7-13 10:24:24 | 显示全部楼层
我们南北两个厂区也是这样 光纤收发器断电然后直接接上就可以 感觉是收发器的问题

因为ARP病毒的话是全部电脑网关都变成有病毒的那台机器的IP地址 你这里是0000000 无效

是因为断线 而我们那南厂都可以正常上网 北厂就断线需要重新断电加电收发器
回复

使用道具 举报

mailq_q
 楼主| 发表于 2007-7-13 11:35:41 | 显示全部楼层
前天在网内几个机子上去排查,在几个电脑上发现了很多木马,有个SPOOLSV,还有个DrvMon,其他的几个忘记记录了,查完以后,从昨天到现在,网络一直没有断过,我还在观察中,如果在断我在发几个工程上来,谢谢几位大大了。。
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表