请问这个事不是ARP欺骗攻击

maxlee722 · 发表于 2012-2-9 10:03:08

本帖最后由 maxlee722 于 2012-2-9 10:06 编辑

我们公司的网络是电信的光纤接入，用一个路由器*********4台交换机上网，这两天公司的网络突然出现大面积的频繁掉线，而且必须更改IP后才能上网，具体情况如下，我们公司的网管是192.168.10.1，IP地址池是2-254的范围。但现在我用科莱分析后诊断出了有一个大量的arp请求风暴，但IP地址却是192.168.1.1.如附件图所示，请问这个是不是ARP攻击。以及怎么定位这个攻击源。而且分析出来的MAC并不在我们公司的计算机MAC地址列表里。还有一点，因为需要监控网络流量。所以在一台机器上装了P2P终结者的软件，而且公司所有的机器都装了360的arp防火墙。但还是没用。依然频繁掉线。本人在线等。十万火急。谢谢帮忙分析下。。。

maxlee722 · 发表于 2012-2-9 10:34:04

再附上数据包。请帮忙看下。。谢谢了

lyt891006 · 发表于 2012-2-9 11:13:12

当故障发生时，在那几台交换机上定位MAC为00:1d:0f:84:86:44的主机。

xinism · 发表于 2012-2-9 12:36:16

本帖最后由 xinism 于 2012-2-9 12:44 编辑

是伪造网关吧。但192.168.1.1这个IP存在不？

steve-zhu · 发表于 2012-2-9 13:00:15

断网情况应该不是这些大量产生ARP的设备造成的，IP地址冲突诊断中出现的3个MAC都是用192.168.1.1，而且都在发送免费ARP，但这些ARP不会造成192.168.10.0网段的机器断网。这3个设备从MAC信息来看是TP-link的产品，查查看有没有相关产品接入。
大面积断网，然后改IP能用很可能是ARP欺骗造成的，ARP欺骗不一定都是用广播，有可能用单播ARP报文欺骗，所以建议你做端口镜像抓一下全网流量，再进一步分析。
另外，192.168.10.4是什么设备？这台主机有主机扫描的嫌疑，可以看看它在做什么。

maxlee722 · 发表于 2012-2-9 15:24:42

查了。。没有其他的设备接入。。。而且那3个MAC地址也不是我们公司的。。。。

mailfzu · 发表于 2012-2-10 15:02:08

围观~~~！！！希望解决问题后提供详细解决过程！

mailfzu · 发表于 2012-2-10 15:02:59

围观~~~！！！希望解决问题后提供详细解决过程！

justing123 · 发表于 2012-2-13 10:52:16

时刻关注~希望最后分享一下详细案例~

maxlee722 · 发表于 2012-2-13 11:20:26

这个情况依然存在，但现在发作的不是很频繁。具体原因仍在查找中.

sinco_dvd · 发表于 2012-2-13 14:55:53

个人建议你在交换机上进行端口镜像抓包，然后再抓包的机子上部署arp防火墙（arpanti），运行一段时间后他会给你指出那台机子的网卡处于监听状态，则说明那台机子中了arp病毒，在进行攻击。用csna分析的话我觉得有点用牛刀杀鸡。我上次就是用这个办法解决的。

maxlee722 · 发表于 2012-2-14 08:24:38

非常感谢楼上的指点，但我们公司的交换机，2台FAST FS24 双层交换机，一台水星S124的双层交换机。好像都没有做端口镜像的这个功能。。。哎。。。。

sinco_dvd · 发表于 2012-2-14 09:11:55

那就看你的那台路由器上面有没有这个功能，如果有的话也可以的

maxlee722 · 发表于 2012-2-14 14:42:27

D-LINK DIR-100的路由器。。也没有这个功能，而且才发现公司大楼里每个分部门都有一个路由器。。。。头疼啊。

izitan · 发表于 2012-4-1 12:49:43

问题解决了没有,怎么处理的

277409694 · 发表于 2012-4-11 20:38:44

应该是伪造网关。。。

请问这个事不是ARP欺骗攻击

本帖子中包含更多资源

本帖子中包含更多资源