设为首页 - 加入收藏
广告 1000x90
您的当前位置:356388黄大仙原创资料 > 局域网广播 > 正文

天易成网管停止管理后局域网广播ARP包增多是怎么回事呢?

来源:未知 编辑:admin 时间:2019-07-10

  在使用天意成网管之前,antiarp防护墙没有拦截到arp广播。使用天意成过程中局域网断网;停用网管后,antiarp防火墙大概平均1分钟拦截4、5个arp广播包。用wireshark抓包了,路由器,电...

  在使用天意成网管之前,antiarp防护墙没有拦截到arp广播。使用天意成过程中局域网断网;停用网管后,antiarp防火墙大概平均1分钟拦截4、5个arp广播包。

  用wireshark抓包了,路由器,电脑都有发出arp广播,询问网关的比较多。对比了一下以前所有的ip和mac,现在IP和mac对应是一致的。

  在dos中出入arp -a,只显示了网卡ip,没有其他电脑ip和mac的信息。展开我来答

  可选中1个或多个下面的关键词,搜索相关资料。也可直接点“搜索资料”搜索整个问题。

  展开全部ARP广播很可能是ARP欺骗造成的,楼上说先抓包看看是什么ARP报文,这个很有道理。

  不过个人觉得,在一个局域网内,ARP广播包一直有,但是如果不停地发送,是有问题的。

  个人就觉得,可能有一台机器中了病毒,发送ARP欺骗,来使得其他机器的报文都要通过它来发送,这个可能性比较大。

  2.从抓包看到ARP的SIP是什么,也就是源IP。这样就定位了是哪台机器出了问题。

  ARP报文由request和reply两类,如果是广播的reply这个极有可能是病毒问题。或者是有人开启了类似P2P终结者的软件,试图控制别人的网速。

  没有拦截到广播包的原因:是因为多数ARP请求(广播)都是合法的,不需要拦截,而ARP回复(也就是ARP reply报文)一般应该是单播,但是在刚开机的时候,或者刚获取地址后,为了判断这个IP地址是否被使用,也会广播ARP reply报文,这种报文如果被病毒篡改,也常常被用来当作ARP欺骗报文,一般拦截是拦截这种报文。

  1分钟4到5个ARP广播报文应该算正常的,而且arp -a也没有看到网关的IP对应mac被篡改,那么估计没什么问题(我的意思是由于有防火墙在,所以可能没什么问题)。

  如果要具体判断这个现象是否正常,抓包的时候看看ARP reply的广播报文(就是目标mac全ffff的),ARP里面的源IP和源MAC的关系是否正确,如果是欺骗报文,很可能是源IP是网关IP,源mac是某一台中毒的PC机的mac。

  arp -a没有其他电脑的IP和mac也是正常的,只有和其他电脑有通信时才会得到其他电脑的IP和mac对应关系。

  建议楼主看看报文中的free ARP(一般是指arp reply广播报文)里面的源IP和源mac是否正确,如果不正确,可能就是有机器中毒了。

  展开全部用wireshark(ethereal) 之类抓包软件看看那个ARP包是哪里发出的, 所属什么软件什么原因.

本文链接:http://klickieaiken.com/juyuwangguangbo/463.html

相关推荐:

网友评论:

栏目分类

现金彩票 联系QQ:24498872301 邮箱:24498872301@qq.com

Copyright © 2002-2011 DEDECMS. 现金彩票 版权所有 Power by DedeCms

Top