交换机在狂发arp ..

bibcc · 发表于 2008-3-21 16:31:59

郁闷啊，查了几天，没点头绪，用科来只知道有交换机在狂发arp ..
不会十多个交换机都有问题吧。
一台台电脑查不到。。电脑都正常工作。。
只是打印机服务器（hp jetdirect 500）经常掉包。。。
有高手救救吗？？？、
怎么解决？？？

bibcc · 发表于 2008-3-21 16:53:40

我用科来，sniffer, 分析一下是不是某台电脑的流量太大
可查出来都是交换机的流量最大。。
是否是交换机出问题。。。。????????????????
严重程度          协议层                               事件                                                    源

！          数据链路层          ARP请求风暴(主机IP地址192.168.18.100）---这是我这换机的ip          mac地址
！          数据链路层          ARP请求风暴(主机IP地址192.168.18.100）---这是我这换机的ip          mac地址
！          数据链路层          ARP请求风暴(主机IP地址192.168.18.100）---这是我这换机的ip          mac地址
！          数据链路层          ARP请求风暴(主机IP地址192.168.18.100）---这是我这换机的ip          mac地址

oldjiang · 发表于 2008-3-21 17:04:29

查看交换机的文档，有无关于ARP的设置。最好上传数据文件。交换机型号？

[ 本帖最后由 oldjiang 于 2008-3-21 17:08 编辑 ]

bibcc · 发表于 2008-3-21 17:08:48

我用的都是3com的交换机。。。
附档为数据包文件

oldjiang · 发表于 2008-3-21 17:14:15

不是要TXT，要工程文件，压缩，上传。参考：http://www.csna.cn/forum.php?mod ... amp;page=1#pid43355

pootnet · 发表于 2008-3-21 17:34:02

八成LZ电脑开了arp之类的网管工具.......

bibcc · 发表于 2008-3-21 17:34:46

w附档为工程文档

bibcc · 发表于 2008-3-21 18:02:04

急啊。。。
各位高手请帮小弟一把吧。。。

bibcc · 发表于 2008-3-21 22:59:45

下星期一搞不定的话.我就得找新工作了...
可没这么多交换机给我换呀..
数据包里
192.168.18.xxx 是我这交换机的 ip

55902000 · 发表于 2008-3-21 23:42:11

你的交换机IP是多少啊。

bibcc · 发表于 2008-3-22 09:15:59

我的电脑有ARP防火,经常有提示

源ip 源地址　　　　　　　　源机名
2008-03-22 08:30:58 DNS欺骗攻击： 192.168.111.254 00-0E-6A-D0-B3-A0 TEXDGNTB1 1
2008-03-22 08:30:58 DNS欺骗攻击： 192.168.111.254 00-0E-6A-CF-01-00 intranetdg.texwinca 1
2008-03-22 08:31:42 DNS欺骗攻击： 192.168.111.254 00-14-7C-4C-90-00 intranetdg.texwinca 1
2008-03-22 08:31:42 DNS欺骗攻击： 192.168.111.254 00-14-7C-4C-D1-20 intranetdg.texwinca 1
2008-03-22 08:31:40 DNS欺骗攻击： 192.168.111.254 00-14-7C-4D-9B-20 intranetdg.texwinca 1
2008-03-22 08:31:42 DNS欺骗攻击： 192.168.111.254 00-14-7C-46-7A-20 intranetdg.texwinca 1
那些网卡地址为我的交换机的。。。。
这到底是什么问题。。。
哪位高手能解答..........?????????????????????????////

oldjiang · 发表于 2008-3-22 10:01:05

楼主的网络可能有环路。
1、诊断，ARP扫描的第一条，00:0E:6A

2:47:80/192.168.18.206的ARP请求包，25秒的时间里，按“谁是XXIP”汇总，包数多的有16个，最少的也有2个
2、UDP-NETBIOS包，每个IP标志都有两个包
3、WINDOWS NLB的包流量也较大，调低一下频率
4、楼主抓包的机器为何对应两个IP？192.168.111.64和192.168.18.81
5、节点浏览器-按物理断点浏览-本地网段，有938个节点，有这么多机器吗？
6、00:09:0F:11:A7:A8、00:14:5E:1B:A1:3A、00:50:04:1D:A2:8A、00:04:79:66:F8:E6、00:04:79:67:A2:BA、00:01:02:6E:FB:91下都有至少两个IP地址
7、缓存超出，抓包时间缩短一点

[ 本帖最后由 oldjiang 于 2008-3-22 11:09 编辑 ]

bibcc · 发表于 2008-3-22 12:32:23

环路，，，，？？？？？
那为何电脑相互通信都没问题？？?？
我装了两个网卡。。才会有两个ip ..
192.168.18.xxx 是我这交换机ip 段.....

oldjiang · 发表于 2008-3-22 22:55:43

1、arp包的流量达到2.5Mbps，很惊人，我据此猜测有环路。
2、请楼主描述拓扑，尽量详细（关键设备的IP和MAC），有图更好。
3、再次抓包的时候断开192.168.18.81，注意不要超出缓存。
4、我下午去帮别人解决了一个小问题，虽然是个小问题，也折腾了一周，寝食难安，中午吃饭都没喝酒。不要轻言放弃。
5、请参考http://www.csna.cn/forum.php?mod ... amp;page=1#pid42067

[ 本帖最后由 oldjiang 于 2008-3-24 00:24 编辑 ]

liuheliuxi · 发表于 2008-3-26 09:13:19

218、209肯定在扫描电脑，先把这两台断网看看情况是否好转。
很多扫描的地址应该是假的，相信你的网络没有这么多电脑中毒，不然你只能一台一台杀了。
如果你实在找不到，建议你使用断一半网络的方法快速定位中毒电脑，就是每次断一半的网络测试看看哪一半有问题，然后继续这么操作，直到找到病毒电脑所在的交换机，然后一个端口一个端口试验

交换机在狂发arp ..

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源