论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2009-06-01 19:55 |只看该作者 |倒序浏览

10可用积分

环境：有3个网段，128，129，130。核心交换机为华为的3550。整个局域网有大约300台机器。
工具：Ethereal。
测试：我在130网段下，本机安装了Ethereal。我本机跟核心交换机之间还隔有2个交换机。我的ip是130.51，网关是130.1.

现象：我截了无数次包，每次30秒左右，这里不方便截图，我说明一下：每次都连续n条下列信息：
217  29.391890  168.5.130.99  Broadcast  ARP  who has 168.5.130.225? Tell 168.5.130.99
218  29.391986  168.5.130.99  Broadcast  ARP  who has 168.5.130.200? Tell 168.5.130.99
219  29.392017  168.5.130.99  Broadcast  ARP  who has 168.5.130.175? Tell 168.5.130.99
220  29.392120  168.5.130.99  Broadcast  ARP  who has 168.5.130.150? Tell 168.5.130.99

1、168.5.130.99这个位置的IP，几乎每次都会变，比如168.5.130.42啊，什么的，测了几十遍，还没有遇到相同的，所有机器都在ARP攻击？
2、who has 后面的这个IP，每次都差25.比如168.5.130.225和168.5.130.200。费解。
3、有的时候是网关出现这个现象，就是把168.5.130.99换成168.5.130.1.

小弟初学网络，想弄明白这些里面的关系，上网找了很久，对arp攻击有了一定了解，但是对于这样的现象，摸不着头脑，为什么每次攻击的IP都不同呢。
在核心交换机设置了arp source-suppression limit 10（设备某端口在5秒时间间隔内可以接收到的源IP地址相同，且目的IP地址不能解析的IP报文的最大数目），
并且功能enable了。但是没有任何的用处。希望有高人能解答我的疑惑。

最佳答案

ssffzz1

查看完整内容

但是它们不是不停的发中毒应该是不停的发。

文库|博客

ssffzz1

广告杀手

论坛徽章:: 5

2楼 [报告]

发表于 2009-06-01 19:55 |只看该作者

但是它们不是不停的发

中毒应该是不停的发。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ssffzz1

广告杀手

论坛徽章:: 5

3楼 [报告]

发表于 2009-06-01 21:15 |只看该作者

大致统计一下每秒的包个数，如果太高。或者是一个固定的IP发送的ARP查询太多就有可能是了。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

freedom

稍有积蓄

论坛徽章:: 0

4楼 [报告]

发表于 2009-06-02 08:47 |只看该作者

在arp 攻击时间内
如果有可网管交换机查每个端口的包数及流量，把包、流量高的挨个排查

如果没有的话拼内功，看哪个口灯闪的快，挨个排查，但这个不准，不过至少比没有强

当然如果你监控做的好的话，直接查每台server 的网络数据就得的出来。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

shenbo7

腰缠万贯

论坛徽章:: 0

5楼 [报告]

发表于 2009-06-02 09:06 |只看该作者

用协议分析工具。。。

一目了然。。。。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

liVer1234

白手起家

论坛徽章:: 0

6楼 [报告]

发表于 2009-06-02 10:46 |只看该作者

我补充说明一下。由于截取发往核心交换机的数据包，要做端口镜像。所以目前无法截取发向核心交换机的数据包，也就无法判断，发往交换机的arp包中的mac是否伪造。暂时无法确定局域网内是否有arp攻击。从目前局域网运行总体状况良好来看，arp攻击的可能性不大。频繁发送广播arp包，可能是中了木马的现象。另外，arp source-suppression limit 10的操作，可以成功限制住130.1的网关的arp广播包在10个左右。但是无法限制其他130网段的IP。

谢谢楼上的回答，但是没有解决我心中的疑问。希望再次指点。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

liVer1234

白手起家

论坛徽章:: 0

7楼 [报告]

发表于 2009-06-02 11:20 |只看该作者

我补充说明一下。由于截取发往核心交换机的数据包，要做端口镜像。所以目前无法截取发向核心交换机的数据包，也就无法判断，发往交换机的arp包中的mac是否伪造。暂时无法确定局域网内是否有arp攻击。从目前局域网运行总体状况良好来看，arp攻击的可能性不大。频繁发送广播arp包，可能是中了木马的现象。另外，arp source-suppression limit 10的操作，可以成功限制住130.1的网关的arp广播包在10个左右。但是无法限制其他130网段的IP。

谢谢楼上的回答，但是没有解决我心中的疑问。希望再次指点。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

shenbo7

腰缠万贯

论坛徽章:: 0

8楼 [报告]

发表于 2009-06-02 11:29 |只看该作者

请在你怀疑有ARP欺骗的VLAN内接入安装有Sniffer或相似功能软件的电脑。。

开侦听。。。分析ARP流量的分布。。。

说白了。。就是看看哪个IP在大量发ARP包。。

网关的ARP发包量要比普通机器多。。。

其实，你侦听10分钟，一看ARP流量的百分比就知道了。。。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

liVer1234

白手起家

论坛徽章:: 0

9楼 [报告]

发表于 2009-06-02 13:49 |只看该作者

我一直在监听，我监听不止十分钟，是整整一天了。发arp包的ip太多了，几十个，还不断有新的ip加入。但是它们不是不停的发，是隔一阵子向每个ip发查询所有ip地址的arp包。由于数目太多，所以我才怀疑中木马的结论。不知道是不是由于某个设置造成的。并且另外的一个疑问是，为什么我可以成功限制住网关的发包数量，
而无法限制普通130网段的ip。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

ssffzz1

广告杀手

论坛徽章:: 5

10楼 [报告]

发表于 2009-06-02 14:17 |只看该作者

arp source-suppression limit 10

要限制每台机器发ARP的速率，需要在接入端口来做，前提是要你的交换机支持。（大多不支持）

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

12 / 2 页下一页

返回列表

Chinaunix › 论坛 › IT运维 › 网络技术 › 这种现象属于arp攻击吗？

这种现象属于arp攻击吗？ [复制链接]

最佳答案