机房说我的bsd不停地发arp攻击数据包,应该如何停止?

wangym

我没有安装任何攻击性的ARP或其它软件.

如果说中毒,那也许是有可能,但现在机房把服务器网线拔了,一时半会儿又不可能赶过去.

请问有没什么freebsd本身的命令或者其它方式,可以简单的停止arp的发送

牺牲掉点其它功能也可以,只要暂时让它不发送了,机房才高兴把网线插上去.

谢谢大家服,急啊,我一直在线.

angeljyt

监视arp数据包，看看是什么东西发的.
tcpdump

arp -a显示arp缓存

wangym

原帖由 angeljyt 于 2008-6-1 17:55 发表
监视arp数据包，看看是什么东西发的.
tcpdump

arp -a显示arp缓存

请问是不是用tcpdump监视出本机是用什么东西发的ARP包，然后再处理掉那个东西是吧？

arp -a显示arp缓存是什么意思？

谢谢了！

有没有办法，比如彻底禁止ARP这个功能，不能发，不管是什么东西。

wangym

我网上搜索到，用
1.ifconfig 网站 -arp
2.pf_enable=yes
这样行吗？谢谢大家了。

wangym

对了，之前我用dmesg查看，出现大量的：
arplookup 60.12.225.183 failed: host is not on local network
arplookup 60.191.105.183 failed: host is not on local network
arplookup 60.12.225.183 failed: host is not on local network
arplookup 60.191.105.183 failed: host is not on local network
arp: 60.12.230.129 moved from 00:0f:e2:31:8a:d0 to 00:d0:05:6c:34:0a on em0
arp: 60.12.230.129 moved from 00:d0:05:6c:34:0a to 00:0f:e2:31:8a:d0 on em0


后来装了ipguard并配置后启动，dmesg内的提示依旧有，然后没几小时机房就说我服务器在狂发ARP包了，我先让机房管理员把ipguard进程结束掉，不过没有用，他说还在不停地发。

杜比环绕声

参考下面的网文：

http://www.bsdlover.cn/html/15/n-15.html

lsstarboy

原帖由 wangym 于 2008-6-1 18:00 发表
我网上搜索到，用
1.ifconfig 网站 -arp
2.pf_enable=yes
这样行吗？谢谢大家了。

不行，这样会导致你的机器网络不通。

查看一下IP设置和route设置，如果没有多余的IP设置，那么就可能是出了病毒之类的东西。

Mac绑定一下试试。

实在不行，只好抓包，再用ps找一下非法的程序，kill掉。不过按照unix的规则，这种发包器是需要root权限的，查看一下root权限的程序，也许能很快找到恶意的软件。

lllaaa

原帖由 wangym 于 2008-6-1 17:59 发表


请问是不是用tcpdump监视出本机是用什么东西发的ARP包，然后再处理掉那个东西是吧？

arp -a显示arp缓存是什么意思？

谢谢了！

有没有办法，比如彻底禁止ARP这个功能，不能发，不管是什么东西。

彻底禁止arp之后你的机器也跟拔掉网线没有区别了.

lonelywing

上次管理员跑过来跟我说我的机器在不停的进行ARP攻击
结果一查是因为我把IP地址设置为网关地址了，哈哈

angeljyt

可以ssh不，我帮你看看