有图，谁能告诉我这是什么问题！感激不尽，

xulydeng · 发表于 2007-7-23 10:48:09

最近网吧老掉线啊，是不是这个引起的？

只是一个神话 · 发表于 2007-7-23 10:49:53

如果２５４是网关那就是这个问题引起的。

很可能是ＡＲＰ攻击。ＬＺ最好用分析软件查一下。

xulydeng · 发表于 2007-7-23 10:54:31

用什么软件分析好，这就是科来分析出来的问题。如果是ARP，我们的路由有ARP绑定功能，并没有重复MAC地址。那路由能不能自己绑自己？内网又不掉包，我们122台机器，晚上8点至9点满坐的情况下，就会掉，像现在这个时候人也满多的，100左右，又很正常！254就是网关！这个图就是刚刚查出来的结果，现在没有掉线！

[ 本帖最后由 xulydeng 于 2007-7-23 10:56 编辑 ]

只是一个神话 · 发表于 2007-7-23 10:59:49

找到0022AA61F671，断网查杀

只是一个神话 · 发表于 2007-7-23 11:01:10

ＳＯＲＲＹ，看错了，原来是自己绑自己

xulydeng · 发表于 2007-7-23 11:03:54

022AA61F671，这个就是路由的MAC，，，而且我试了很多种方法再也找不出这个MAC还在哪一台机子上，我并没有在静态路由表上，绑路由自己的MAC，我就是想不明白，为什么分析出来会是I

P地址冲突！虽然说这个网关有冲突，不过我还正上着网呢，并没有掉线的问题！

:'( 这到底是什么问题啊

[ 本帖最后由 xulydeng 于 2007-7-23 11:08 编辑 ]

蓝色梦园 · 发表于 2007-7-23 11:08:00

这种情况,不知道楼主网关的MAC地址是什么?有可能这个网段内MAC地址为00:22:AA:F6:61:71的机器
有问题,找到它处理一下看有什么问题!楼主又说100台机子的时候又很正常,满座就掉线,看路由器配置上
有没有什么不对的地方,是DHCP分配地址吗还是固定设IP的?

只是一个神话 · 发表于 2007-7-23 11:10:09

其它的不敢说，但是有一种可能会导致这种情况，就是下面有人在恶意攻击或是病毒原因，发送ＡＲＰ应答包，

只是一个神话 · 发表于 2007-7-23 11:10:56

只是被攻击之后就应该掉线，ＬＺ没掉线是否自绑定了地址？

xulydeng · 发表于 2007-7-23 11:13:08

00:22:AA:F6:61:71，就是网关的MAC地址，我并没有说非得满座的时候就掉线，现在我只是想知道，这个图说IP地址冲突，用的两个MAC又一样，我就是不知道代表什么意思！前面说了这个就是我刚刚分析出来的结果，但是刚刚并没有掉线

xulydeng · 发表于 2007-7-23 11:14:27

没有绑路由自己的MAC！那说说要是路由器硬件坏了，会不会出现这样的情况

[ 本帖最后由 xulydeng 于 2007-7-23 11:21 编辑 ]

xulydeng · 发表于 2007-7-23 11:25:21

快出来说句话啊，不管是什么原因，都帮我列出几条，分析分析啊！谢谢

[ 本帖最后由 xulydeng 于 2007-7-23 11:26 编辑 ]

xulydeng · 发表于 2007-7-23 11:28:29

我快疯了，，，，，，，

只是一个神话 · 发表于 2007-7-23 11:32:24

如果单单从图上分析，这很可能是一种ＡＲＰ攻击，而这种攻击是会断网的，但是至于ＬＺ没有断网是为何还要看情况，是否攻击密度不大，没有断网只是一种错觉，这个可以用ＰＩＮＧ来测试，如果有掉包，那很可能就是这原因，如果一切正常，ＰＩＮＧ没有ＴＩＭＥ　ＯＵＴ，那我也不知道了！

蓝色梦园 · 发表于 2007-7-23 11:33:33

有可能中毒的主机虚拟了网关的MAC地址,而且想抢用网关的IP,目的是让所有主机的通信都要
从它那过一便,成了中间人欺骗!

ginieay · 发表于 2007-7-23 11:34:32

路由上面取消绑定试试

还有就是，查查局域网内是不是有两个相同的MAC
这个问题虽然看似不可能，我就遇到过

xulydeng · 发表于 2007-7-23 11:35:04

请看下面这个图，是PING网关的图

只是一个神话 · 发表于 2007-7-23 11:35:13

我觉得ＩＰ冲突是某机器在攻击网关，但这个排查是有难度的，因为ＩＰ和ＭＡＣ都是网关的。传统方式是看交换机上的灯有无不正常，看不出的只能一根根拔了。

至于ＩＰ冲突的时候为什么没断网，我也不知道了。

v313376448 · 发表于 2007-7-23 11:39:14

用科来物理地址扫描器扫一下看看内网有没有哪种的地址也是这个，要是有的话看用户名找把他处理掉

xulydeng · 发表于 2007-7-23 11:39:38

我该怎么去查到这台机子，这个毒要做这个动作，总归是不是要发大量的数据包的，但是并没有哪个机器数据包过大啊！我查了，用优化大师的附加工具，PING所有机器，没有重复，用ARP检测工具，PING所有的机器没有重复，只是这个ARP检测工具会说192.168.0.254 ，网关，可疑

只是一个神话 · 发表于 2007-7-23 11:40:05

这种攻击数据包的大概构造是，原ＭＡＣ和目标ＭＡＣ，原ＩＰ和目标ＩＰ都是网关的。攻击机器向网关发送该数据包。如果ＬＺ分析软件部署正确的话，应该能抓到１９２.１６８.０.２５４在00:22:AA:F6:61:71上这类的ＡＲＰ应答包。

xulydeng · 发表于 2007-7-23 11:48:09

你们说要是硬路由，坏了的话，会不会出现这样的问题

只是一个神话 · 发表于 2007-7-23 11:50:05

断线会啊，但是ＩＰ冲突不会啊。反正没遇到过路由器坏了会提示ＩＰ冲突的。

xulydeng · 发表于 2007-7-23 11:52:03

是刚开始的时候提示冲突，现在不提示了，好像我每次在不同的PC机，安装一次扫一下，每次都会有这个提示出来，都是出现15个这样的警告，之后就没有了

[ 本帖最后由 xulydeng 于 2007-7-23 11:56 编辑 ]

只是一个神话 · 发表于 2007-7-23 11:52:47

不提示了网络还不正常？

xulydeng · 发表于 2007-7-23 11:54:44

网络不正常的时候，这个分析系统我并没有开着

只是一个神话 · 发表于 2007-7-23 11:58:28

现象是否有周期性？
ＰＩＮＧ的时间长一点，网络出问题的时候ＰＩＮＧ和科来一定要开着。还有除了看诊断里的情况外，还要看看数据里的一些东西。诊断只是可能的一些信息，重点是数据包。

xulydeng · 发表于 2007-7-23 12:03:23

现看ARP检测工具这个图

zhangyingaisy · 发表于 2007-7-23 13:42:33

路游的MAC地址和攻击源MAC地址!如果按正常来说跟本不可能!看了下LZ的包不大明白!总觉得向是硬件问题!LZ从起路游看看!或者从新导入MAC看!

hudeg632 · 发表于 2007-7-24 14:36:16

除了你的ip60是混杂外,还有谁的机器是这种混杂模式,你知道数据包是可以任意编写的,编写一个你哪样的包是不难的.如果不是另一台混杂机发出的数据包,就是你网络中有机器中毒了.

有图，谁能告诉我这是什么问题！感激不尽，

本帖子中包含更多资源

回复 #2 只是一个神话的帖子

回复 #9 只是一个神话的帖子

本帖子中包含更多资源

本帖子中包含更多资源

回复 #15 蓝色梦园的帖子

回复 #21 只是一个神话的帖子

本帖子中包含更多资源

有图，谁能告诉我这是什么问题！感激不尽，

本帖子中包含更多资源

回复 #2 只是一个神话 的帖子

回复 #9 只是一个神话 的帖子

本帖子中包含更多资源

本帖子中包含更多资源

回复 #15 蓝色梦园 的帖子

回复 #21 只是一个神话 的帖子

本帖子中包含更多资源

回复 #2 只是一个神话的帖子

回复 #9 只是一个神话的帖子

回复 #15 蓝色梦园的帖子

回复 #21 只是一个神话的帖子