[问题求助]请问一个网络中用Ethereal抓包，发现ARP占50％，这正常吗？ [复制链接]

一台普通机器使用Linux2.6.15＋iptables－1.3.5做防火墙，NAT上网，代理几十台机器，几个月都正常，这半个月突然出现外网中断，但内网之间可以Ping通，所有客户端就是Ping不通外.网，代理服务器无报错，在代理服务器上可以Ping通外网，中断也就一分钟左右，不一定什么时候发生，代理服务器上网卡.无错包，在网内也.没发现异常流量的DD，Tcpdump也没.看到什么，请朋友们帮助分析分析，感谢.！！！.


用Ethereal抓包后，发现有台客户机在不停的发ARP包，是他在捣乱吧.，网络折腾两天了，时断时续的，.断的时间还不长，用户不断的询问啊，这个郁闷！！！.

[ 本帖最后由 R9_Alien 于 2006-7-18 10:.31 编辑 .]    外汇

中毒了，应该是中毒了，是arp 攻击一种吧。内网的电脑有人中了这个毒的！我们学校内网就是这样的！一种传奇木马。看看我复制过来的，大家看看：

ARP是“Address Resolution Protocol”“地址解析协议”的缩写

现象：断网有两种情况，一种是局域网断一下，只影响与中毒机器同一个VLAN的电脑。在二层交换机的地址库里可发现中毒机器同时还有一个全0的MAC地址  在三层交换机上的ARP表里，会有几台机器是同一个MAC，然后会轮转，所以是断断续续（或者叫闪断，因为断一下马上就好了）。还有一种情况是VLAN内部分电脑网全部不通，这时候ARP看网不通的机器上网关的MAC地址为中毒机器的MAC，而三层交换上的ARP表里，上不了网的机器的MAC均变成了中毒机器的MAC了。这两种情况，中毒机器上网全部正常，但是在通过ARP欺骗子网内其他电脑，把它当成网关，所有数据包都通过它转发，窃取密码（这种类型的木马以前就有了）。病毒对其他子网基本没什么影响。

断网的时候输入 arp －a ，如果那个MAC地址对应几个IP，可以确定就是那个MAC地址的电脑中毒的，需要网管隔离那台电脑！
网络内部可以安装  Antiarp.exe 小软件，绿色版本的，病毒出现就报警，相当有效，在情大家同志网管，一切OK！最主要的还是加强电脑安全意识，全国很多局域网成灾了，我们学校就是这样，有些同学中毒了不杀毒，不安装防火墙，一人中毒，子网遭殃啊！！！ 下载地址 ：[http://www.colorsoft.com.cn/soft/AntiArp.zip

参考：
http://www.my.gov.cn/MYGOV/14608 ... 0060706/103779.html
http://www.2168.net/html/network/network/26836.shtml
http://fun.winzheng.com/fun_10/152940767.html
http://202.96.125.246:8097/show.aspx?id=93&cid=33

[ 本帖最后由 zhangzhu1984 于 2006-7-21 10:07 编辑 ]

你去网关机上arp -an 看看，是否有好多相同的mac对应不同的IP，
如果是就是那个mac的机器中病毒了。

解决办法就是找到那台病机，
或是在服务器上进行Mac和Ip的静态绑定，并在客户端作网关的mac-ip绑定。

在代理服务器上绑定Mac和Ip的静态对应关系
可以解决服务器端

看看是不是ip track的问题

很有可能是哪个工作站中了毒,或者网卡工作不稳定,需要排查,仅供参考,前两天我就被这样的问题给折腾的够呛.

QUOTE:原帖由 R9_Alien 于 2006-7-18 10:32 发表
顶顶，刚勇Ethereal抓包，发现大量的ARP包。。。。

内容太少，无法分析，至少你要说出来是什么 ARP 包吧？

顶顶，刚勇Ethereal抓包，发现大量的ARP包。。。。

谁能帮帮我，感谢，到底毛病出在哪，感谢！！！使用了IMQ限制了带宽，但几个月运行都没事，现在怎么突然出现这个毛病了？能是交换机的事吗？

断了的时候Ping代理服务器的内网卡也Ping不同，怎么会是这样？