Chinaunix

标题: 局域网间歇性断网 [打印本页]

---

作者: yestreenstars    时间: 2014-07-01 23:13
标题: 局域网间歇性断网

最近，局域网经常间歇性断网，我最先想到的是ARP攻击，于是我用抓包工具来分析，局域网的网段是192.168.1.0/24，从抓包结果来看，有一个IP为192.168.0.120的主机一直在“积极”地响应，但我认为这并不是造成间歇性断网的原因，因为我以前就知道有这么一台主机，只是我找不到它，之前一直没出现过间歇性断网，只是最近才出现。

各位Cuers有什么高见吗？或者有什么需要我补充的吗？

---

作者: cryboy2001    时间: 2014-07-02 08:42
歇性断网这类问题主要要考虑病毒如arp，断网的范围，时间，相连的交换路由设备，电脑、dns、私接的dhcp服务器，乱改ip等，一个一个的查。

---

作者: ssffzz1    时间: 2014-07-02 08:59
抓的包发上来看下。

---

作者: yestreenstars    时间: 2014-07-02 09:04


@cryboy2001@ssffzz1感谢2位关注~

---

作者: yestreenstars    时间: 2014-07-02 09:09
回复 2# cryboy2001

断网范围：整个局域网，甚至连防火墙都ping不通外网~
时间：有时断开半个小时左右，有时断开几分钟~
DNS：114.114.114.114
DHCP：所有主机均采用静态IP
客户端数量：10台左右
   

---

作者: cryboy2001    时间: 2014-07-02 09:17
只有arp包，192.168.0.120肯定是不正常的mac一直在变，还不是同一网段。
还有192.168.1.177一直在广播。
除了这个也看不出什么来，还是要你本人结合网络实际情况排查。

---

作者: yestreenstars    时间: 2014-07-02 09:21
回复 6# cryboy2001

我很好奇，为什么0网段的主机会响应1网段的ARP请求？
还有就是177这台主机在扫描局域网内的主机，系统自身应该不会这样做吧？是第三方软件在搞鬼吗？   

---

作者: cryboy2001    时间: 2014-07-02 09:28
先找到这两台电脑，看看，再关掉这两台电脑对比一下，
间歇性断网一般最大的问题可能是防火墙网关等硬件设备问题。

---

作者: yestreenstars    时间: 2014-07-02 10:12
回复 8# cryboy2001

1.177这台主机好找，但0.120这台主机不好找。
我们公司采用双防火墙。

   

---

作者: ssffzz1    时间: 2014-07-02 14:11
单从这些报文还看不出ARP攻击来。建议还是先找到117和120,关掉再看看。

---

作者: yestreenstars    时间: 2014-07-02 14:38
回复 10# ssffzz1

可能不是ARP攻击，那还有什么会导致这种现象呢？
   

---

作者: ssffzz1    时间: 2014-07-03 08:56
从抓包上看并不像ARP攻击，但是这么多的ARP应答也是不对的。间歇断网的原因很多，设备故障，供电问题，其他病毒等等，不只有ARP攻击。

---

作者: yestreenstars    时间: 2014-07-03 09:07
回复 12# ssffzz1

正常的ARP请求和应答不是一一对应的吗？我看到有些请求并没有得到相应的应答。
   

---

作者: apen    时间: 2014-07-04 08:27
如果不是ARP攻击，检查一下网络设备的负载和散热问题，另外电源不稳定性也会有这种情况。

---

作者: yestreenstars    时间: 2014-07-04 08:55
回复 14# apen

我只是觉得奇怪，两个防火墙都不能联网~
   

---

作者: Trofish    时间: 2014-07-04 14:44
要确定是否arp攻击很简单：

1. 网络正常情况下，arp -a查看并记录网关mac

2. 网络异常情况下，arp -a查看并比较网关mac有没变化。

3. tracerout外网地址，注意留心网络中断位置

要找某台主机，可以arp -a 查看192.168.1.120的mac地址，然后去交换机上show mac-address-table | in xxxx
查到端口，拨线。。。
然后，120这台机器的主人就会主动来找你了

---

作者: yestreenstars    时间: 2014-07-04 14:57
回复 16# Trofish

我试过将一台主机的IP改成192.168.0.110，然后ping 192.168.0.120，然后刷新ARP表，发现192.168.0.120的MAC地址是变化的，所以我怀疑它是不是用软件模拟的~
   

---

作者: Trofish    时间: 2014-07-04 16:04
这么说的话，这台120肯定是有问题。

至少存在恶意软件的可能。否则没法解释mac变化。

---

作者: yestreenstars    时间: 2014-07-04 16:12
回复 18# Trofish

现在0.120没有对局域网造成什么影响，所以我选择不鸟它~
   

---

作者: noshell    时间: 2014-07-05 23:39
有可能有人把mac  地址改成网关的mac地址？
只是猜测:wink:

---

作者: yestreenstars    时间: 2014-07-06 23:11
回复 20# noshell

这种可能基本排除~这样做对他们没有任何好处~
   

---

作者: _nucong2013    时间: 2014-07-13 20:25
如果还是没有处理好问题，我之前出现间歇性掉网问题，结果发现是360局域网防护中
设置问题，隐藏了.

---

作者: yestreenstars    时间: 2014-07-13 20:57
回复 22# _nucong2013

一台客户机影响整个局域网？
   

---

作者: dzminglong    时间: 2014-07-15 16:42
   建议公司装上arp防护类的软件试试，如果是域分发下，如果不是....麻烦大了
如果还不能解决问题，那就是别的原因了。

---

作者: yestreenstars    时间: 2014-07-15 16:56
回复 24# dzminglong

这断网的频率不高，有时一个月会断2次，我怀疑会不会跟电信有关，但是每次断网的时间太短，我想做单点测试时，网络又已经恢复了~
   

---

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)

Powered by Discuz! X3.2