CSNA网络分析论坛»首页 流量分析产品区 其它 大量的广播包,
返回列表 发帖
查看: 5965|回复: 4

大量的广播包,

[复制链接]
bingxuelin
发表于 2008-1-16 17:23:52 | 显示全部楼层 |阅读模式
刚学着使用SNIFFER查看局域网内的状态,今天发现一台主机(192.168.1.7)的广播包特别多,基本上2,3秒一个,这个多了会不会对网络有什么影响?另外想知道broadcast与multicast都与什么有关?多了好不好?

备注:网内存在ARP欺诈,欺诈时间不确定,偶尔会出现断网,并且伴随着ARP表被修改,但究竟哪台电脑仍没有查出来,用软件检测一直显示攻击者是路由器的IP,但是MAC地址却无法在局域内找到
已经用科来抓了数据包,高手帮忙看一下是什么问题  192.168.1.7 主机一直在不停发送广播包,不知道是否与ARP欺诈有关


[ 本帖最后由 bingxuelin 于 2008-1-16 17:26 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

lbzxy
发表于 2008-1-16 17:32:07 | 显示全部楼层
广播和组播包多了当然不行,会占用网络带宽,影响网络性能,甚至网络瘫痪。
有些协议是基于广播的啊,比如,ARP,DHCP等;
组播和广播类似,只不是将数据包发往组内的设备或主机;
楼主可以将数据包传上来,大家分析一下。
回复

使用道具 举报

lbzxy
发表于 2008-1-16 17:43:34 | 显示全部楼层
请问楼主是怎样确定网络有ARP欺骗的呢?
从数据包看不出来啊?
如楼主所说,192.168.1.7这台主机确实发送广播包的频率比较快,应该重点检查。
回复

使用道具 举报

liuheliuxi
发表于 2008-1-17 13:57:45 | 显示全部楼层
没有看出你的网络问题,你部署正确吗?怎么10分钟才这点流量?
回复

使用道具 举报

bingxuelin
 楼主| 发表于 2008-1-18 11:20:07 | 显示全部楼层

回复 3# 的帖子

因为网络总有时会掉线,且掉线同时,路由器(192.168.1.1)可以PING通,但正常情况下无法PING通,再者掉线时,查看ARP列表,192.168.1.1的MAC地址被修改为一个网内不存在的MAC地址,因此说有ARP欺骗.
只是掉线毫无规律性,暂时只通过在各主机绑定路由器的MAC地址上网才稳定一些

刚才把绑定的ARP表删了后马上又有攻击
SNIFFER抓的图片又显示出那个不存在的MAC  001478DCF876,但是就是找不到该主机

数据包如下


[ 本帖最后由 bingxuelin 于 2008-1-18 11:34 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表