ARP问题：为什么会找0.0.0.107？

DelphiQin · 发表于 2007-7-18 16:18:13

大家帮忙看看，为什么会找0.0.0.107？而且后边的IP地址也不对
不只一台机器会这样，而且有时候是找0.0.0.1，后边的IP都是192.168.192.168
我们这里是用的路由，无线网卡，都是D-Link的
IP分配是192.168.0.100－192.168.0.199

编号          绝对时间                   源                         目标                      协议          大小       解码       概要
423       16:00:00.381115       00:17:9A:0A:44:26       FF:FF:FF:FF:FF:FF       ARP       64                   谁是 0.0.0.107? 告诉 192.168.192.168
424       16:00:00.381900       00:17:9A:0A:44:26       FF:FF:FF:FF:FF:FF       ARP       64                   谁是 192.168.0.107? 告诉 192.168.0.107
427       16:00:00.976944       00:17:9A:0A:44:26       FF:FF:FF:FF:FF:FF       ARP       64                   谁是 0.0.0.107? 告诉 192.168.192.168
428       16:00:00.977705       00:17:9A:0A:44:26       FF:FF:FF:FF:FF:FF       ARP       64                   谁是 192.168.0.107? 告诉 192.168.0.107
429       16:00:03.727149       00:17:9A:0A:44:26       FF:FF:FF:FF:FF:FF       ARP       64                   谁是 0.0.0.107? 告诉 192.168.192.168
430       16:00:03.727946       00:17:9A:0A:44:26       FF:FF:FF:FF:FF:FF       ARP       64                   谁是 192.168.0.107? 告诉 192.168.0.107

DelphiQin · 发表于 2007-7-18 16:57:41

补充一下：我问这个问题，是因为公司网络总是断，有时是大家一起断，有时是个别的
起初以为是ARP欺骗，但安了Anti-ARP sniffer 就是现在的ARP防火墙，开主动防御，每秒30个包都会断
而断了以后，修复一下就好了
在断网的情况下，机器无法ping通路由
我用科来抓包，ARP包广播的非常多，回答的很少，不过回答的包都没问题，IP和MAC都是正确的
广播的包里就有上面那样的非常奇怪的包，不知道是为什么

发在这里求高人解答一下，先谢过了~

[ 本帖最后由 DelphiQin 于 2007-7-18 17:04 编辑 ]

huamao2006 · 发表于 2007-7-18 17:00:46

都不对哈。

找到问题所在才能根本解决问题。把公司的MAC和IP做一个统计吧（做好管理最基本的要素）。
首先，0.0.0.107的IP根本就不合法哈，其次，自己询问自己的MAC地址（疯了，自己会不知道吗）。
原因，软件中毒被攻击行为。
解决，查看是否存在MAC地址为00:17:9A:0A:44:26的主机是否有异常情况（包括可疑进程），查看192.168.0.107和192.168.192.168这2个IP是否真实存在，如果存在检查其是否存在异常情况。
检查工具，可以使用Sniffer、EtherPeek、科来网络分析系统等工具，不过推荐使用科来的（中文的很好，简单实用）。

DelphiQin · 发表于 2007-7-18 17:12:10

先谢谢LS的兄台了
网络里确实存在MAC为00:17:9A:0A:44:26的主机，而且IP就是192.168.0.107，这是我从路由上的DHCP表里查的，所以应该不会有错
今天公司里那个部门的人基本都出去了，只开了大概6台机器，其中2台发这种包，而且掉线不太严重，他们要是都在，就掉的很频繁了
我也一直认为是ARP中毒，可是为什么开ARP防火墙，设好网关的IP和MAC后，每秒30次的和网关保持联系都会掉呢

huamao2006 · 发表于 2007-7-18 17:20:58

你可以去IP为192.168.0.107的这台机器上看看先，可能是这一台或者多台机器都出问题。找到问题的源头我们就能解释是什么问题了。现在只是猜测是解决不了问题的。
尽量多实用分析工具。

DelphiQin · 发表于 2007-7-18 17:28:00

嗯，明天去看看
不过那个机子肯定是公司领导的，至于是最高的，还是次一级的，还不知道呢，所以一直是猜，没有去那个机子上去查

DelphiQin · 发表于 2007-7-20 10:49:31

关于自己找自己
--------------------------------------------------------------------------------------------------------------------------------
无偿ARP和重复的IP地址检测
ARP可以被用来检测重复的IP地址，这是通过传送一种叫做无偿ARP的ARP请求来完成的。无偿
ARP就是一个发往自己IP地址的ARP请求。在无偿ARP中，SPA(发送者协议地址)和TPA(目标协议
地址)被设置成同一个IP地址。
如果节点发送一个发往自己IP地址的ARP请求，就不应收到任何一个ARP回应帧，这样节点就可以
判断没有其他节点使用跟它相同的IP地址。如果节点发送一个发往自己IP地址的ARP请求，结果收
到ARP回应，这样此节点就可以判断有另外一个节点使用同样的IP地址。注册表中对ArpRetryCount
的设置控制了无偿ARP的发送数量。

ArpRetryCount
Location:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Data Type: REG_DWORD
Valid range: 0-3
Default value: 3
Present by default: No

ArpRetryCount设置了当初始化某个IP地址时，发送的无偿ARP的次数。如果发送了ArpRetryCount
个无偿ARP后，都没有收到ARP回应，IP就假定此IP地址在此网络段中是唯一的。

hkfalcon · 发表于 2007-11-19 16:58:54

原帖由 DelphiQin 于 2007-7-20 10:49 发表
关于自己找自己
--------------------------------------------------------------------------------------------------------------------------------
无偿ARP和重复的IP地址检测
ARP可以被用来检测重复的IP地 ...

恩，我这就有机器发这种包，很频繁，但是他发的包中的源IP和目标IP都是192.168.30.32 或者是218.*.*.* 等，却都不是他自身的IP地址，却又不知是为何。呵呵

ARP问题：为什么会找0.0.0.107？

浏览过的版块