我单位现在局域网内出现交换机灯同时闪烁，单位计算机在同一个网段上,网内有几台个别机器出现不能上网现象，在DOS下用arp -a 命令查看发现网关MAC地址变成了一个不正确的地址，这几台上不了网的计算机也访问不了内网，在上不了网的计算机上运行sniffer pro 查看没有谁在对本机发包，于此同时在能正常使用的计算机上运行sniffer pro 发现这几台上不了网的计算机都有一项显示为Duplicate Network Address。
而且在能正常使用的计算机上运行了网络执法官V2.86试用版，发现网内用户在无休止在增长。同一个IP出现了好多MAC地址。后来在过了一个小时左右网络突然恢复正常，交换机灯也不同时闪烁了，这几台计算机也能上网了。

头痛，无法查到问题，请大家帮忙，想想办法如何能够解决这个问题。
如果是硬件问题我如何解决？
如果是有人在用非法软件我如何能够查到他？

小弟我是一单位的网管（比较菜的那一种）。
请各位帮忙分析一下，我怎么才能把这个问题解决。

听起来好像是有人在进行ARP欺骗~
抓包看下，或许可以找到他的源MAC地址~

[ Last edited by jingshne on 2005-5-10 at 14:32 ]

既然是欺骗，源MAC地址也肯定不正确！
不过抓包是个不错的分析方法

先谢谢楼上二位，问题是我现在还不会抓包分析，请二们再帮帮忙，能不能给推荐一个好用的抓包工具，最好是能有使用说明的。（对不起我是个菜鸟）

请问能不能留下联系QQ或MSN，因为这个问题比较急解决，在咱们论坛这么聊即时性不太好。

我的QQ号是44740353

先假设你只是不懂得sniffer的应用，
所以推荐你看下面这个贴，里面应该有你要的东西：
http://www.netexpert.cn/viewthread.php?tid=355&fpage=1

BTW：千万不要急，不然乱了分寸可不大好~：）

谢谢，我看这个帖子先。

引用:

Originally posted by jingshne at 2005-5-10 03:45 PM:
先假设你只是不懂得sniffer的应用，
所以推荐你看下面这个贴，里面应该有你要的东西：
http://www.netexpert.cn/viewthread.php?tid=355&fpage=1

BTW：千万不要急，不然乱了分寸可不大好~：）

是啊，急不得，呵呵，
网络中出这样的问题是一个很好的学习机会，呵呵！

十有八九是有人在利用“局域网终结者”这样的软件进行ARP欺骗攻击。
假如交换机支持网管功能，可以通过出现的虚假MAC地址在交换机上查找对应的端口，最终找到有问题的PC机。MAC地址可以伪造，它接入的交换机端口是没办法伪造的。
假如PC机不多，还有一个比较土的方法，网络故障发生时，看看交换机上哪几个端口通信比较频繁，对这几个端口逐一拔网线直到找到攻击者。

谢谢各位，这几天问题没有出现，没有查到是具体什么问题。
现在用了一个名叫  Ethereal 工具，对网络进行抓包分析。
现在是看不懂报文，请各位再帮帮忙，教教小弟如何才能看懂。

搜索一下。。我记得论坛里面有不少Ethereal的资料！

谢谢各位了。

我们学校的网络也出现了类似的问题,好象是ARP的问题,

楼主你太厉害了