已经确认是ARP攻击了，有什么办法找出攻击的机器？

semac · 发表于 2006-6-8 14:28:23

您需要登录才可以下载或查看，没有账号？注册

×

网络瘫痪了两天了，现在已经确认是ARP攻击，通过捕获的MAC地址已经找到了一台机器，并已经杀完毒，但还有一台机器没有找到，在不停的发ARP信息。这台发的MAC地址全部是假地址，真的很头痛，不知有什么办法找出来。局域网的机器很多，分布的地域也较广，一台台去查不太现实。
求老大们指点。

专卖精品 · 发表于 2006-6-8 14:55:12

最好做PPPOE服务器，不用怕ARP，而且，网络也干净很多

bill · 发表于 2006-6-8 15:02:38

先在骨干交换机上挨个拔除网线，确定是哪个范围，然后下一层交换机再用同样的方法查找，直到找到

semac · 发表于 2006-6-8 15:04:00

由于局域网内只能有部分能上，为了管理方便，都是IP绑定MAC地址上网，用PPPOE服务器不太现实。

casper2000 · 发表于 2006-6-8 15:08:25

做IP和MAC绑定..

semac · 发表于 2006-6-8 15:12:59

原帖由 bill 于 2006-6-8 15:02 发表
先在骨干交换机上挨个拔除网线，确定是哪个范围，然后下一层交换机再用同样的方法查找，直到找到

这也是个办法，正在试。
想找一个能查出发包的软件就爽了

semac · 发表于 2006-6-8 15:13:56

原帖由 casper2000 于 2006-6-8 15:08 发表
做IP和MAC绑定..

ROS早绑定了，只是客户机绑定麻烦，还有不少机器是2000，绑定没用

casper2000 · 发表于 2006-6-8 15:21:53

原帖由 semac 于 2006-6-8 15:13 发表

ROS早绑定了，只是客户机绑定麻烦，还有不少机器是2000，绑定没用

2000不能做arp绑定啊?没注意..

semac · 发表于 2006-6-8 16:54:42

客户机绑定你们是设置静态ARP，还是另外用其它方法绑定IP和MAC

账号		自动登录	找回密码
密码			注册

[其它] 已经确认是ARP攻击了，有什么办法找出攻击的机器？