局域网间歇性断网
最近,局域网经常间歇性断网,我最先想到的是ARP攻击,于是我用抓包工具来分析,局域网的网段是192.168.1.0/24,从抓包结果来看,有一个IP为192.168.0.120的主机一直在“积极”地响应,但我认为这并不是造成间歇性断网的原因,因为我以前就知道有这么一台主机,只是我找不到它,之前一直没出现过间歇性断网,只是最近才出现。各位Cuers有什么高见吗?或者有什么需要我补充的吗? 歇性断网这类问题主要要考虑病毒如arp,断网的范围,时间,相连的交换路由设备,电脑、dns、私接的dhcp服务器,乱改ip等,一个一个的查。 抓的包发上来看下。 本帖最后由 yestreenstars 于 2014-07-02 09:11 编辑@cryboy2001@ssffzz1感谢2位关注~
回复 2# cryboy2001
断网范围:整个局域网,甚至连防火墙都ping不通外网~
时间:有时断开半个小时左右,有时断开几分钟~
DNS:114.114.114.114
DHCP:所有主机均采用静态IP
客户端数量:10台左右
只有arp包,192.168.0.120肯定是不正常的mac一直在变,还不是同一网段。
还有192.168.1.177一直在广播。
除了这个也看不出什么来,还是要你本人结合网络实际情况排查。 回复 6# cryboy2001
我很好奇,为什么0网段的主机会响应1网段的ARP请求?
还有就是177这台主机在扫描局域网内的主机,系统自身应该不会这样做吧?是第三方软件在搞鬼吗? 先找到这两台电脑,看看,再关掉这两台电脑对比一下,
间歇性断网一般最大的问题可能是防火墙网关等硬件设备问题。 回复 8# cryboy2001
1.177这台主机好找,但0.120这台主机不好找。
我们公司采用双防火墙。
单从这些报文还看不出ARP攻击来。建议还是先找到117和120,关掉再看看。