Chinaunix

标题: 高手请入，ip冲突的问题，谢谢先。。。 [打印本页]

作者: unitele 时间: 2003-05-17 11:40
标题: 高手请入，ip冲突的问题，谢谢先。。。
有谁知道局域网内所有pc 同时报ip冲突是怎么回事？？

作者: unitele 时间: 2003-05-17 11:44
标题: 高手请入，ip冲突的问题，谢谢先。。。
难道没有人可以帮忙吗？？？？？？？？？？？？

作者: unitele 时间: 2003-05-17 14:06
标题: 高手请入，ip冲突的问题，谢谢先。。。
是所有的pc同时报自己和自己的ip冲突啊\r\n难道高手都度假去了？

作者: 奥黛儿 时间: 2003-05-17 16:43
标题: 高手请入，ip冲突的问题，谢谢先。。。
把所有显示冲突的机器所报出的IP和MAC地址列出来,看这些MAC倒底是哪些机器上的,说一下结果再分析.

作者: unitele 时间: 2003-05-17 20:15
标题: 高手请入，ip冲突的问题，谢谢先。。。
只有2个本局域网不存在的mac地址\r\n而且每台pc都分别被这2个mac地址冲突过

作者: 奥黛儿 时间: 2003-05-17 22:52
标题: 高手请入，ip冲突的问题，谢谢先。。。
用sniffer监测一下网络中的arp数据包。\r\n最好是一台一台慢慢地关闭所有主机，看在关闭哪台机器时出现问题，或许那台机器有什么程序在捣乱。

作者: linziwei 时间: 2003-05-17 23:26
标题: 高手请入，ip冲突的问题，谢谢先。。。
清空ARP,在用工具分析ARP包.试试[img]

作者: 天雨 时间: 2003-05-18 17:19
标题: 高手请入，ip冲突的问题，谢谢先。。。
肯定是有人用了和你一样的ip了。

作者: unitele 时间: 2003-05-19 11:31
标题: 高手请入，ip冲突的问题，谢谢先。。。
我想我有必要再次强调一下问题\r\n现象：所有的pc机同时报系统错误，提示有ip冲突，收集unix主机也有类似报错，此现象出现在不同的ip地址段\r\n分析：发现所有机器报的ip冲突和本机一样，也就是报自己和自己冲突，经查发现每台机器都是被同样两个mac地址冲突，但是此mac地址并不存在本局域网中，整个现象存在于所有以以太网连接方式的局域网中。所有windows系统报编码为4199的错误，在微软官方网站查询结果如下：\r\nThis article was previously published under Q178550 \r\nSYMPTOMSAfter you install ICMP-fix, the following events may be logged in the system event log: \r\n\r\n Event ID: 4199\r\n Source: TCP/IP\r\n Description: The system detected an address conflict for IP address\r\n 0.0.0.0 with the system having network hardware address\r\n xx

x. Network operations on this system may be disrupted as\r\n a result.

作者: unitele 时间: 2003-05-19 11:42
标题: 高手请入，ip冲突的问题，谢谢先。。。
本人怀疑这是一种网络攻击，但来源可能来自内部\r\n\r\n网络环境：cisco route 7507 2台互备，cisco switch 6506 2台，cisco switch 2924 多台。\r\n\r\n处理办法是快速清空主路由器和交换机的arp表，clear arp all\r\n\r\n但我的问题是如何确定这到底是怎么回事，是网络攻击吗？如何有效防止这种问题的再次发生？

作者: 奥黛儿 时间: 2003-05-19 11:47
标题: 高手请入，ip冲突的问题，谢谢先。。。

原帖由 \"unitele\" 发表：\nWindows系统报编码为4199的错误，在微软官方网站查询结果如下：\r\nThis article was previously published under Q178550 \r\nSYMPTOMSAfter you install ICMP-fix, th..........

\r\n\r\n你在微软查到的那个信息没有意议,也只是告诉你和别人冲突.\r\n\r\n这个现象是目前一直存在呢? 还是有时会发生. 要是一直存在,那这几天岂不是所有人都不能工作了吗?\r\n\r\n照我说的做过了吗? \"一台一台慢慢地关闭所有主机，看在关闭哪台机器时问题消失\".

作者: 奥黛儿 时间: 2003-05-19 11:53
标题: 高手请入，ip冲突的问题，谢谢先。。。

原帖由 \"unitele\" 发表：\n本人怀疑这是一种网络攻击，但来源可能来自内部\r\n\r\n网络环境：cisco route 7507 2台互备，cisco switch 6506 2台，cisco switch 2924 多台。\r\n\r\n处理办法是快速清空主路由器和交换机的arp表，clear arp all\r\n\r\n但我?.........

\r\n\r\n我也觉得象,但如果客户机修改本机MAC的话,或者只是生成一个arp包修改包头信息的MAC地址的话,你是查不出来的,所以只能一台一台地关机来排除了. \r\n\r\n另外一个考虑: 是不是交换机的问题, 重启过吗?\r\n还有, 你查到的那个MAC是不是交换机端口的MAC?

作者: unitele 时间: 2003-05-19 16:14
标题: 高手请入，ip冲突的问题，谢谢先。。。
我这里是在线的生产系统，所以一台一台地关机来排除是不可能的，我只有以最快的速度恢复生产网络，所以没能很多的收集故障信息\r\n下面是我在一台ibm RS6000小型机上做的日志服务器截取得部分路由器端口冲突信息：\r\nMay 16 14:17:08 130.71.1.252 5273896: 1y29w: %STANDBY-3-DUPADDR: Duplicate address 130.71.1.252 on FastEthernet1/0/0, sourced by 0004.234c.99d0\r\nMay 16 14:17:36 130.71.1.253 1922: 1w0d: %IP-4-DUPADDR: Duplicate address 130.71.3.254 on FastEthernet1/0/0, sourced by 0004.234c.99d0\r\nMay 16 14:17:37 130.71.1.238 677: 6w3d: %IP-4-DUPADDR: Duplicate address 130.71.1.238 on FastEthernet0/0, sourced by 0004.234c.99d0\r\n\r\n交换机和路由器都没有重启过，清空arp后就恢复正常了\r\nmac地址在本局域网不存在

作者: 奥黛儿 时间: 2003-05-20 12:37
标题: 高手请入，ip冲突的问题，谢谢先。。。
你肯定那个MAC不是路由器或交换机的接口地址?

作者: 奥黛儿 时间: 2003-06-26 09:22
标题: 高手请入，ip冲突的问题，谢谢先。。。
昨天试用过一个\"网络执法官\"的软件, 可以使选定的主机出现IP冲突的现象,并且可以定义出现的频率, 而且它发送给对方的信息中的mac是假的,因此,单凭mac是找不到那台机器的. 它的原理就是向对方发送arp-reply信息. \r\n忽然想起你提的这个问题了,就翻了出来.

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)