网络、arp

jaylesin · 发表于 2009-6-4 16:27

真心求教，希望大家看完故障现象，copy的就免了，看好多了，不是我等凡民所能理解
单位一共20多台电脑，分布范围比较广，车间、办公室、宿舍楼。已经有好长一段时间发生arp攻击现象了，以前我安装了arp防火墙还能上网，不过现在越来越严重，贫乏的攻击导致路由器堵死，导致整个网内都无法上网，要断路由器电源再插上才能正常，一天断10多次。
单位网络布局：ADSL接路由器接交换机，所有的网线全从交换机接出去，下面不够网线的电脑用小的交换机再接（本人比较懒，下面有用1个坏掉的路由器当成交换机用，不知道和ARP事件是否有关系），然后，上不了网了，arp事件正式发生。
a、360arp防火墙显示arp攻击，地址192.168.1.1，mac地址00-00-00-00-00（瞎写的）
ping 192.168.1.1能ping通，正常，打开浏览器也能进，但是问题是我tenda的路由器怎么变成tp-link的界面啦
ok，手动绑定arp -s 192.168.1.1 00-00-00-00-00，能上网了，一切正常了，就是网速贼慢，360显示arp攻击地址192.168.1.1，mac地址：11-11-11-11-11（瞎写的）
b、安装antiarp，扫描出192.168.1.0~192.168.1.254所有的ip地址（我们单位什么时候这么多电脑啦），除了已经存在的电脑mac外，其余所有ip的mac地址都是相11-11-11-11-11，主机名皆为robot（好像是这个吧）
c、最近进路由器里查看日志会看到内网所有ip TCP SYN Flooding，Teardrop Attack，Land，不过这些ip除了我们内网的ip外就是我们路由器电信拨号的ip了，不大可能我们内网所有的电脑都中毒吧，至少我自己用的电脑就能保证无毒了（恩，这点貌似大概还是可以确定的吧）。

整体现象大概就是这个样子，拜求各位大神显灵，一定要帮小民想想办法啊!!![s:135][s:135][s:135]

chuanyuan · 发表于 2009-6-4 16:39

我也试了好多办法~始终是对付用~~苦不堪言啊~~~555555
谁对网络层的东西懂的多请帮帮忙啊

aferdr · 发表于 2009-6-4 16:43

交换机层连不能超过3层。
进入路由器，查看哪个IP的流量特别大，不正常，基本就是他了。

帅龍行兲下 · 发表于 2009-6-4 16:43

ARP中毒？先下载个防火墙然后用专杀杀掉啊！每个电脑都要去杀一次哦不要联网

hoej · 发表于 2009-6-4 16:56

具体解决办法我倒是没有，给你一点建议，
首先检查有没有坏掉的网络设备，比如交换机，路由器，其次检查网线有没有接错的，或者有问题的，
再有就是有没有人使用p2p之类的网络管理软件，
这些都没有问题的话，请确认所有电脑是否有中毒的

ww_zxh · 发表于 2009-6-4 17:14

坏掉的路由什么品牌，如是TP-link就其本是坏路由造成的。

amwdnuff · 发表于 2009-6-4 19:31

我曾遇到过，那是公司软件高手故意在搞鬼，查一下内部网络问题

snrtong · 发表于 2009-6-4 20:23

有两种方法：
1、下载一个P2P终结者破解版，然后用它监控整个局域网，看那个IP的数据量最大，把它找出来，拔掉网线，看在会不会影象速度。（排查法），并且你可以查到功击IP是否是局域网的，还是外网的
2、对局域网每台电脑拔掉网线杀毒、重装系统。（最好是在没上班的时侯做），然后RESET路由。然后在对每台电脑插上网线。

drink58 · 发表于 2009-6-4 21:43

还是应该绑定有效啊

jaylesin · 发表于 2009-6-4 16:27

真心求教，希望大家看完故障现象，copy的就免了，看好多了，不是我等凡民所能理解
单位一共20多台电脑，分布范围比较广，车间、办公室、宿舍楼。已经有好长一段时间发生arp攻击现象了，以前我安装了arp防火墙还能上网，不过现在越来越严重，贫乏的攻击导致路由器堵死，导致整个网内都无法上网，要断路由器电源再插上才能正常，一天断10多次。
单位网络布局：ADSL接路由器接交换机，所有的网线全从交换机接出去，下面不够网线的电脑用小的交换机再接（本人比较懒，下面有用1个坏掉的路由器当成交换机用，不知道和ARP事件是否有关系），然后，上不了网了，arp事件正式发生。
a、360arp防火墙显示arp攻击，地址192.168.1.1，mac地址00-00-00-00-00（瞎写的）
ping 192.168.1.1能ping通，正常，打开浏览器也能进，但是问题是我tenda的路由器怎么变成tp-link的界面啦
ok，手动绑定arp -s 192.168.1.1 00-00-00-00-00，能上网了，一切正常了，就是网速贼慢，360显示arp攻击地址192.168.1.1，mac地址：11-11-11-11-11（瞎写的）
b、安装antiarp，扫描出192.168.1.0~192.168.1.254所有的ip地址（我们单位什么时候这么多电脑啦），除了已经存在的电脑mac外，其余所有ip的mac地址都是相11-11-11-11-11，主机名皆为robot（好像是这个吧）
c、最近进路由器里查看日志会看到内网所有ip TCP SYN Flooding，Teardrop Attack，Land，不过这些ip除了我们内网的ip外就是我们路由器电信拨号的ip了，不大可能我们内网所有的电脑都中毒吧，至少我自己用的电脑就能保证无毒了（恩，这点貌似大概还是可以确定的吧）。

整体现象大概就是这个样子，拜求各位大神显灵，一定要帮小民想想办法啊!!![s:135][s:135][s:135]

jaylesin · 发表于 2009-6-4 16:27

真心求教，希望大家看完故障现象，copy的就免了，看好多了，不是我等凡民所能理解
单位一共20多台电脑，分布范围比较广，车间、办公室、宿舍楼。已经有好长一段时间发生arp攻击现象了，以前我安装了arp防火墙还能上网，不过现在越来越严重，贫乏的攻击导致路由器堵死，导致整个网内都无法上网，要断路由器电源再插上才能正常，一天断10多次。
单位网络布局：ADSL接路由器接交换机，所有的网线全从交换机接出去，下面不够网线的电脑用小的交换机再接（本人比较懒，下面有用1个坏掉的路由器当成交换机用，不知道和ARP事件是否有关系），然后，上不了网了，arp事件正式发生。
a、360arp防火墙显示arp攻击，地址192.168.1.1，mac地址00-00-00-00-00（瞎写的）
ping 192.168.1.1能ping通，正常，打开浏览器也能进，但是问题是我tenda的路由器怎么变成tp-link的界面啦
ok，手动绑定arp -s 192.168.1.1 00-00-00-00-00，能上网了，一切正常了，就是网速贼慢，360显示arp攻击地址192.168.1.1，mac地址：11-11-11-11-11（瞎写的）
b、安装antiarp，扫描出192.168.1.0~192.168.1.254所有的ip地址（我们单位什么时候这么多电脑啦），除了已经存在的电脑mac外，其余所有ip的mac地址都是相11-11-11-11-11，主机名皆为robot（好像是这个吧）
c、最近进路由器里查看日志会看到内网所有ip TCP SYN Flooding，Teardrop Attack，Land，不过这些ip除了我们内网的ip外就是我们路由器电信拨号的ip了，不大可能我们内网所有的电脑都中毒吧，至少我自己用的电脑就能保证无毒了（恩，这点貌似大概还是可以确定的吧）。

整体现象大概就是这个样子，拜求各位大神显灵，一定要帮小民想想办法啊!!![s:135][s:135][s:135]