请求“arp请求过多”症状分析

xyaodong11 · 发表于 2006-7-27 11:05:23

我们公司专线接入INTERNET，内部客户端用ISA共享上网，ISA主机双网卡配置，现在用科来网络分析系统分析，提示症状为"ARP请求过过“

诊断：
协议层为DATALINK LAYER，事件为“ARP请求太多无应答”，源为ISA主机内网网卡，目标为NA.
数据包：
所发数据包事件非常频繁，占总数据包的70％，目标为FF:FF:FF:FF:FF:FF,协议ARP,数据包大小64，事件概要为，“谁是192.168.0.*(1-254),请告诉192.168.0.2“，

请问，症状原因在哪？？
赐教，急盼！

菜鸟人飞 · 发表于 2006-7-27 11:18:45

一般情况下，这种情况是ARP扫描引起的。
你的ISA server 上开了哪些服务，是否运行有网管软件（当前很多网管软件基于ARP协议工作）？
同时，检查一下ISA server 是否中毒，或者是否被攻击了（由于你的ISA server 有公网IP吗？如果安全措施做的不太好，则很可能被攻击），攻击者可能根据这台服务器攻击你的内部网络，而攻击的前奏即是扫描，当然，ARP扫描是其中之一。

xyaodong11 · 发表于 2006-7-27 11:35:09

谢谢版主。
我已经把网管软件P2P终结者给关了，但问题依旧，看来有病毒和被攻击的可能性很大了。这样的症状已经持续很久了，中毒的概率很大。希望杀毒软件能解决问题。
再次谢谢版主。

ValorZ · 发表于 2006-7-27 12:57:50

你看一下发送ARP请求的MAC地址和你ISA服务器上的网卡MAC地址是不是一样的？

xyaodong11 · 发表于 2006-7-28 10:50:09

发送ARP请求是ISA

xyaodong11 · 发表于 2006-7-28 10:53:10

发送ARP请求是ISA 的网卡MAC地址，用杀毒软件查了一下，有一病毒，BACKDOOR.
以前一直不想在服务器上装杀毒软件，但有人在服务器上用BT下载电影，呵呵，没办法啊，现在还没能耐什么都管。

lh187 · 发表于 2006-7-28 10:55:51

关注！
我也碰到类似情况，通过网络分析软件找到了几个可疑机器查出了funlove病毒和其他一些病毒，但还是有一些无效的arp请求，不过数量比以前少多了。

zmc837 · 发表于 2006-7-30 07:32:17

这是中了木马病毒，它在进行arp扫描，因为有些机没有开机，所以导致有部分无效的arp请求，建议楼主到雅虎助手网页下载“反间谍专家”个人感觉这软件对付木马等病毒很有一套

stvlzqxhc · 发表于 2006-7-30 10:51:52

都是病毒惹的货,一起抵制病毒.

hz123 · 发表于 2007-5-2 23:52:19

9楼说的对啊病毒很多的啊