CSNA网络分析论坛»首页 流量分析产品区 科来产品 关于arp风暴的疑问
返回列表 发帖
查看: 5171|回复: 11

关于arp风暴的疑问

[复制链接]
ntjxad
发表于 2008-5-13 10:20:14 | 显示全部楼层 |阅读模式
今天早上打开科来查看一下内网的数据包,发现一个奇怪的问题。在“按ip端点浏览”项点诊断发现报局域网内存在arp请求风暴,然后根据事件描述定位到源地址(192.168.0.2),确实有大量的arp请求包。

现在存在的问题是:
1 在定位的主机上(192.168.0.2)用了趋势arp专杀工具,然后还装了360arp防火墙,可是在“按ip端点浏览”上点诊断依然会报arp请求风暴。
2 在“按ip端点浏览”下面的任意项比如本地子网,私有网络等项目上点诊断都没有报存在arp请求风暴。而且直接在本地子网中找到刚才定位的电脑(192.168.0.2)抓包根本没有arp请求了,回到“按ip端点浏览”,依然存在arp请求风暴,而且根据事件中的源定位到主机(192.168.0.2)却又发现了大量的arp包,是不是这两次定位的不是一台电脑,但为什么mac地址和ip都是一样的呢?

请大家指导!!!谢谢
回复

使用道具 举报

oldjiang
发表于 2008-5-13 12:19:26 | 显示全部楼层
1、ARP是二层协议,所以“按ip端点浏览”的子项无此诊断事件。打开一个以前收集的ARP包,图中的六个节点有ARP诊断事件。但为什么按ip端点浏览这个节点有,我也不理解。
1.png
2、感觉你是在两台机器上分别抓包,即先在某个机器上抓包有ARP,随后在192.168.0.2上抓包无ARP,接着又看第一个包,包的数据肯定还在。处理了192.168.0.2后在第一个机器上重新抓包还有ARP吗?
回复

使用道具 举报

ntjxad
 楼主| 发表于 2008-5-13 18:15:01 | 显示全部楼层
一直都在连接镜像口的机器上抓包,并没有停止,而且看时间可以判定数据包是新的
回复

使用道具 举报

oldjiang
发表于 2008-5-13 21:14:08 | 显示全部楼层
我举个例子,抓包发现某个机器有ARP,把那个机器关了,但数据包就像历史数据,相关的数据包还在,即使持续抓包超出了缓存,相关的数据包被冲掉了,可能诊断事件还在,直至重新抓包。1#抓包的过程不太看得懂,你能否分步描述一下?
回复

使用道具 举报

ntjxad
 楼主| 发表于 2008-5-14 09:17:03 | 显示全部楼层
具体操作步骤是:每天上班的时候开启科来,数据包设置成只保存当天的数据,然后打开已经建好的工程,系统会提示是否清除已有的数据,点击是,开始抓包。每天下午下班就关闭科来并保存工程。

请版主指点!谢谢
回复

使用道具 举报

oldjiang
发表于 2008-5-14 11:22:46 | 显示全部楼层
“数据包设置成只保存当天的数据”,我的交流版没这个选项。
“然后打开已经建好的工程”,为何不直接点开始?有过滤器等设置?
说到这里,都不明白你的问题了。不会每天抓包都有而且是同一个机器有arp风暴吧?3#说“而且看时间可以判定数据包是新的”,看的是ARP数据包的绝对时间?

[ 本帖最后由 oldjiang 于 2008-5-14 11:28 编辑 ]
回复

使用道具 举报

ntjxad
 楼主| 发表于 2008-5-14 11:54:51 | 显示全部楼层
1、我用的是专家版,
2、设置了过滤器和名字表
3、看的是绝对时间。
另外想请教一下有什么好的杀arp方法吗?用了趋势专杀,装了360arp防火墙,可是依然有风暴!
请指教,谢谢
回复

使用道具 举报

oldjiang
发表于 2008-5-14 12:08:14 | 显示全部楼层
杀ARP的不清楚,防ARP可以参考http://www.csna.cn/forum.php?mod=viewthread&tid=8850
192.168.0.2那个机器是不是装有ARP类的软件,比如P2P终结者、聚生网关、ARP防火墙之类的
每天都发现这个机器有ARP请求风暴吗?要是我就把它重装了。

[ 本帖最后由 oldjiang 于 2008-5-14 12:11 编辑 ]
回复

使用道具 举报

ntjxad
 楼主| 发表于 2008-5-14 14:36:28 | 显示全部楼层
系统已经重新装过了两遍,都是不到半天就满屏的arp请求包了
回复

使用道具 举报

oldjiang
发表于 2008-5-14 15:58:19 | 显示全部楼层
每次都是这个机器,估计跟用户的使用习惯有关,比如上网或安装软件造成中毒。重装之后要求用户一天不能上网、不能安装软件(或者在防火墙、路由器上限制他上网),看看还有无ARP,如有,可能是被局域网其他机器感染的。第二天,开一个科来设过滤器监控他的上网记录,如果有ARP,根据数据包的时间,看看前后上了什么网站,下载了什么软件。或者干脆镜像192.168.0.2机器用的端口,看看究竟在干啥。

[ 本帖最后由 oldjiang 于 2008-5-14 16:19 编辑 ]
回复

使用道具 举报

ntjxad
 楼主| 发表于 2008-5-14 16:03:57 | 显示全部楼层
好的,谢谢指点。马上试验
回复

使用道具 举报

talenbilly
头像被屏蔽
发表于 2008-5-31 18:01:56 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表