网内出现ARP，但无法定位源头，请教！

abitggmm · 发表于 2008-3-14 10:48:07

网内很多机器报IP地址冲突！
在报IP地址冲突的机器上用
1、arp  -a检查发现：
Internet Address    Physical Address       Type
   192.168.1.1    00-19-E0-3C-B0-C8       dynamic
而正确的网关MAC为：00-14-78-B9-0B-84

2、ping 192.168.1.1 -t
Reply from 192.168.1.1: bytes=32 time<1ms TTL=128
居然ping通了，而平常应该是不通的，因为我在宽带路由器上禁止了ping网关

看来存在ARP欺骗！

检查宽带路由器日志，也发现00-19-E0-3C-B0-C8有IP冲突字样

[ 本帖最后由 abitggmm 于 2008-3-14 11:05 编辑 ]

chinaheiyu · 发表于 2008-3-14 10:52:23

楼主如果平时没有做IP和MAC的记录工作找出源头来有点困难!

abitggmm · 发表于 2008-3-14 11:01:52

[local]1[/local]

abitggmm · 发表于 2008-3-14 11:06:48

我查了一下，单位内部没有这台电脑MAC的记录，有可能是新机器或者伪装的

qzyuanmu · 发表于 2008-3-14 13:35:36

如果实在不行,不访去打听下谁的电脑很卡 ?

abitggmm · 发表于 2008-3-14 14:36:46

我跟踪了一下，发现一会儿伪装网关，一会又欺骗其他机器；
很卡的机器，甚至不能上网的机器，一般就是ARP缓存出了问题，用ARP -S绑定后，基本可以解决，但有时也会被192.168.1.1 00-00-00-00-00-00数据包将arp 缓存清空，然后再次被病毒更新为假的网关MAC。
想问一下：
1、是不是ARP防火墙也会对网络造成很大的干扰。（我们用的360ARP防火墙，它老是说正确的网关MAC在攻击192.168.1.1）
2、假如客户机都绑定后还会出现这样的情况吗？
3、被静态绑定的ARP缓存也会被攻击？
不解中……

从零开始 · 发表于 2008-3-14 17:41:55

楼主为什么不用科来网络分析系统抓包呢？

abitggmm · 发表于 2008-3-17 11:11:19

用科来也抓了包的，但分析无果，在IP-MAC数据中也找不到相应机器。

快到下班的时候，想进宽带路由器看看，结果这一看不要紧，居然用原来的密码进不了。怪事……
仔细一看，发现TP-LINK480T的字样消逝，居然出现TL-R402系列 SOHO宽带路由器字样，难道问题出在这里？

于是用默认的用户名和密码登录，果然发现：192.168.1.1以及MAC：00-19-E0-3C-B0-C8
这一下，问题全明白了，哎，找了几天的故障，原来有人把一个宽带路由器用作交换机使用，而TP路由器默认的网关IP都是这个样，真是防不胜防啊！

如何办？
我将路由器的地址改为：192.168.2.1问题解决，再也不出现攻击网关现象了。用ARP欺骗检查工具检查，也无再欺骗。

思考：
1、看来规划网络的时候一定不能偷懒，将IP段设为自己特有的，比如：192.100.100.X.,这样有利于安全；
2、内部设备的管理也至关重要；
3、核心层设备需要加强。

liuheliuxi · 发表于 2008-3-17 11:40:42

学习了，谢谢共享经验

czxroy · 发表于 2008-3-17 14:46:08

看到这里我也猜到一点点了
我以前也发生过这样的事情

有个小的 5口备用路由不在的时候被人家拿去当交换机使用了

结果那个路由里面账号密码什么的都设置好好的~~~ 就自己播了
这个时候 ARP 防火墙就会报警呵呵

原帖由 abitggmm 于 2008-3-14 14:36 发表
我跟踪了一下，发现一会儿伪装网关，一会又欺骗其他机器；
很卡的机器，甚至不能上网的机器，一般就是ARP缓存出了问题，用ARP -S绑定后，基本可以解决，但有时也会被192.168.1.1 00-00-00-00-00-00数据包将arp 缓存 ...

czxroy · 发表于 2008-3-17 14:47:10

还有一点就算对换路由用备用路由

arp 防火墙也会报警因为记录的是前一个路由的 mac地址