已经确认是ARP攻击了,有什么办法找出攻击的机器?
网络瘫痪了两天了,现在已经确认是ARP攻击,通过捕获的MAC地址已经找到了一台机器,并已经杀完毒,但还有一台机器没有找到,在不停的发ARP信息。这台发的MAC地址全部是假地址,真的很头痛,不知有什么办法找出来。局域网的机器很多,分布的地域也较广,一台台去查不太现实。求老大们指点。 最好做PPPOE服务器,不用怕ARP,而且,网络也干净很多 先在骨干交换机上挨个拔除网线,确定是哪个范围,然后下一层交换机再用同样的方法查找,直到找到 由于局域网内只能有部分能上,为了管理方便,都是IP绑定MAC地址上网,用PPPOE服务器不太现实。 做IP和MAC绑定.. 原帖由 bill 于 2006-6-8 15:02 发表
先在骨干交换机上挨个拔除网线,确定是哪个范围,然后下一层交换机再用同样的方法查找,直到找到
这也是个办法,正在试。
想找一个能查出发包的软件就爽了 原帖由 casper2000 于 2006-6-8 15:08 发表
做IP和MAC绑定..
ROS早绑定了,只是客户机绑定麻烦,还有不少机器是2000,绑定没用 原帖由 semac 于 2006-6-8 15:13 发表
ROS早绑定了,只是客户机绑定麻烦,还有不少机器是2000,绑定没用
2000不能做arp绑定啊?没注意.. 客户机绑定你们是设置静态ARP,还是另外用其它方法绑定IP和MAC
页:
[1]