网络内抓包发现大量Gratuitous ARP，请教会是ARP病毒吗

ForCalm

参看截图，用wireshark在内网中的一台机器上抓包，发现大量的Gratuitous ARP请求信息，分别来自两个地址192.168.1.1 和 192.168.1.2，其中192.168.1.1是网关地址，192.168.1.2应该也是一台网络设备的地址，暂时不知道确切的组网，有高手看一下，是否是ARP病毒的迹象呢


附加一张statistic的截图，可以看到ARP占用了很多

ForCalm

自己google一把：
http://cisco.chinaitlab.com/TCP/38035.html
无故（Gratuitous ARP，GARP）ARP也称为无为ARP。主机有时会使用自己的IP地址作为目标地址发送ARP请求。这种ARP请求称为无故ARP，GARP，主要有两个用途：
（1）检查重复地址（如果收到ARP响应表明存在重复地址）。
（2）用于通告一个新的数据链路标识。当一个设备收到一个arp请求时，发现arp缓冲区中已有发送者的IP地址，则更新此IP地址的MAC地址条目。

从这里看，如果是arp病毒，从抓包的结果中应该可以看到恶意服务器的真实MAC地址，因为通常欺骗的都是其他机器上的arp缓存中的IP-MAC映射，否则怎么能称作病毒呢！但是从现有的包中看到的现象却是路由器自己的端口发出的这种数据包，包中的MAC地址可以作证，这就很奇怪了，难道是设备端口不稳定，还是配置的不合理，导致其在不断的在发送这种消息？

ForCalm

还有一种猜想，就是这两台设备做了冗余，然后不断的再发送心跳信息！！ 可能会是这种情况吗？

谁有网络环境，帮我测试一下...

ForCalm

再Google一下，发现网上已经有牛人用C代码实现了手动发送arp请求的操作，下载，编译，效果奇妙无比,发一张截图看一下：

ForCalm

这让我相信那异常的网络内gratuitous arp不是病毒攻击，而是自己的router或者switch配置的有问题，一台PC网卡30%的流量用来收听这种请求，是不是很夸张呢，是不是可以认为网络带宽有30%是被这种信息浪费了呢，煞费苦心的网管？还是疏忽大意的网工？

marsteel

ForCalm 发表于 2012-12-21 17:36
这让我相信那异常的网络内gratuitous arp不是病毒攻击，而是自己的router或者switch配置的有问题，一台PC网 ...

影响你工作了吗？受影响了就联系网络管理员呗