求救分析该抓包文件大量主机都产生ARP包的问题？

soorui · 发表于 2014-3-26 10:57:04

抓包发现整个网段的主机都存在大量的ARP请求包和扫描情况，不是个别机子，差不多是整个网段的机子了，那位大神帮忙分析下啊！！！！

tom9916 · 发表于 2014-3-26 13:29:31

从你的数据包来看，存在很多的ARP请求风暴，还有不少广播风暴。首先，排查你的链路看网络中是否存在环路。

再次从你的数据包里面来看，MAC地址为74:27:ea:a2:ec:c0在网络中发起了ARP扫描攻击。你可以根据交换机的MAC转发，顺藤摸瓜找到这个主机来自哪。

统计分析日志，你网络中约39个MAC的主机发的数据都为广播数据，超过了分析软件的阀值定义为广播风暴了。39个MAC如下：

00:21:85:04:F4:4A

F8:0F:41:7A:96:AB

90:FB:A6:1E:35:0B

44:87:FC

F

B:A9

44:87:FC:7E:C3:36

74:27:EA:A2:EC:C0

C8:1F:66:1B:A7:A8

00:19:21:48:5B:06

00:1E:33:2E:0E:F1

00:19:21:48:6A:21

00:16:EC:C5:32:B0

90:FB:A6:0C:C1:04

00:1C:25:C5

E:B9

90:FB:A6:0D

9

4

BC:30:5B:CB:B5:20

00:01:6C:49:5C:AD

00:15:58:DC:79:D5

00:21:85:06:3C:62

F8:0F:41:7A:91:9A

00:15:58:E4:53:A5

F8:0F:41:7A:8F:D2

74:27:EA:1B:09:92

F8:0F:41:7A:98:12

14:FE:B5:DE:6F:CE

00:23:54:E1:24:B5

44:87:FC:C6:80:89

F8:0F:41:7A:93:4D

90:FB:A6:0D:D9:3C

00:21:5E:DB:48:90

44:87:FC:6B:0C:A1

8C:89:A5:F7:8B:0B

C8:9C:DC:73:27:7C

B8:AC:6F:47:D4:80

C8:9C:DC:D7:F6:3A

BC:30:5B:CB:B2:FE

F8:0F:41:7A:93:40

E8:39:35:43:C5:DD

E8:39:35:39:98:A1

6C:3B:E5:15:7E:44

详细的分析日志，见如下附件。

先对这些主机查杀病毒。
如果交换支持动态ARP检测，可开启防止ARP攻击。

soorui · 发表于 2014-3-26 15:43:14

2# tom9916
74:27:ea:a2:ec:c0 这台主机我当时就已经找到了，重启系统后这台主机就不再发ARP包了，但是整个网络还是有大量的ARP，要是有环路的话，网络不止这些ARP包吧，应该占据大量的广播流量，而我在核心交换机上抓了大概15分钟的包才这么点流量？

tom9916 · 发表于 2014-3-26 21:43:43

核心交换机镜像是否作对了，你所提供的数据都是广播包，没有看到单播数据包。

求救分析该抓包文件大量主机都产生ARP包的问题？

本帖子中包含更多资源

本帖子中包含更多资源