单位有几百台电脑，一台电脑一个vlan，最近发现很多楼层的电脑出现时断时续的现象，怀疑为arp攻击，找了一台有此现象的电脑进行分析，发现不能上网时，arp -a显示的也只有其网关的arp记录，ip与mac地址都是正确的，arp -d后用arp -s gw mac将其绑定，过一会仍会出现时断时续的现象。后用antiarpsniffer来绑定其mac地址，并且启用自动保护，仍不起作用，antiarpsniffer也没有arp记录，后又装sniffer pro来抓arp包，发现arp包不是很小就是mac地址特长，交换机为瑞通的es500，也没有发现有异常的情况，望各位给分析分析

[ 本帖最后由 dimpt 于 2007-4-5 11:50 编辑 ]

自己顶一下

将几台疑有问题机器用4口路由组成小网络，上网，看是否是网卡有问题或病毒造成。

引用:

原帖由 dimpt 于 2007-3-28 16:34 发表
发现arp包不是很小就是mac地址特长

MAC地址特长是什么意思？？

没见到过这种情况
   帮你顶起  
也想学习一下

可能是ARP泛洪攻击，绑定网关无效。你的电脑出现IP地址冲突吗？如果有就确定无疑了，或者你可以用版内的那个ARP攻击检测软件补下包，如果发现有同地址发送的大量广播包，那个MAC地址就是罪魁祸首。顺便说些，ARP检测软件有个BUG，当检测记录过多时会死掉~

一台电脑一个vlan,为什么要这样划分啊

建议把抓到的包发上来分析一下