■■■■■在线紧急请教ＩＰ地址冲突■■■■■

chinaunix_li

顶～～～～～～～～还没解决

柳五随风

盗用的可能性很小，
攻击的可能性很大．

查查交换设备什么的日志有没有，有的话分析那些端口有ＡＲＰ确认ＩＰ的历史，我记得是有专门的工具的，没有的话，自己写个，很简单．

在ＳＷＩＴＣＨ上强制ＭＡＣ到端口的映射，为了防止ＡＲＰ栈溢出等其他的攻击（起始都是从ＡＲＰ开始的），建议你用ＳＮＩＦＦＥＲ侦听，记录ＡＲＰ包的信息，慢慢排查．

另外，最重要的的是，在物理上隔绝，或者用放火墙什么的把网络分割一下，我觉得你单位可能是比较敏感的那种．难道是银行？：）

河南网路科技！

原帖由 "chinaunix_li" 发表：
能不能根据交换机的日志来查询盗用ＩＰ地址是哪个端口发出来的吗？
如果盗用ＩＰ的计算机关机的话无法查询的．．．
顺便说一声，全部是在同一子网．（单位已经划ＶＬＡＮ了）

ＴＨＸ

bingzbj

唉，这个可是老问题了，至今也没有哪位大侠能想出更好的办法来喽

chinaunix_li

原帖由 "柳五随风" 发表：
盗用的可能性很小，
攻击的可能性很大．

查查交换设备什么的日志有没有，有的话分析那些端口有ＡＲＰ确认ＩＰ的历史，我记得是有专门的工具的，没有的话，自己写个，很简单．

在ＳＷＩＴＣＨ上强制ＭＡＣ到端..........

请问如何实现，毕竟是菜鸟，知道的少，请教了，ＴＨＸ

lovellgg

应该不是太困难,首先把交换机的端口映射,然后用sniffer监听,查出是哪个VLAN下的问题,然后缩小范围,同一个VLAN下机器应该不会很多,强制把MAC和IP绑定,进一步缩小范围吧

chinaunix_li

[quote]原帖由 "lovellgg"]应该不是太困难,首先把交换机的端口映射,然后用sniffer监听,查出是哪个VLAN下的问题,然后缩小范围,同一个VLAN下机器应该不会很多,强制把MAC和IP绑定,进一步缩小范围吧[/quote 发表：


现在是没有安装sniffer，如何查？

剑君十二恨

可以用NNM来看看是从哪里来的计算机

chinaunix_li

[quote]原帖由 "剑君十二恨"]可以用NNM来看看是从哪里来的计算机[/quote 发表：


可以用NNM来看看是从哪里来的计算机　　请教你如何操作，谢谢

repol

很有意思,呵呵,不过有我到有个笨主意,呵呵,说了不要见笑哟
也就是冲突的IP都封掉让他不能用,不能用的人到时就会找到网管
大很多的公司都采用这种封IP的方法,以后就没有敢盗用IP了,

上面楼主提到有可能是攻击,这也很正常的,如果封了IP,也就看得出来是不是被攻击还是被盗用