我们公司是划分vlan的，前段时间，有些vlan不能上网，
经查找发现有些机器 发送网关的 arp应答包。刷新了其他机器的
网关mac地址。
经查找发现是 windows 2000[2003],自带的explore的问题，只要把
explore手工结束，再手工启动就不会再发送这种包。
难道是microsoft自己搞得，并且这些2000[2003]不是正版的

另在windows下游一个小工具，可以监视网关的arp攻击 。
附件就是

引用:

原帖由 softice_debug 于 2006-4-14 09:11 发表
我们公司是划分vlan的，前段时间，有些vlan不能上网，
经查找发现有些机器 发送网关的 arp应答包。刷新了其他机器的
网关mac地址。
经查找发现是 windows 2000,自带的explore的问题，只要把
explore手工结束， ...

MS自己肯定不会干这事的，那是那台机器被中上木马什么的了，恶意线程被远程注入到Explorer里的缘故。
你那样做，怕是治标不治本的。

引用:

原帖由 scz 于 2006-4-14 11:42 发表


MS自己肯定不会干这事的，那是那台机器被中上木马什么的了，恶意线程被远程注入到Explorer里的缘故。
你那样做，怕是治标不治本的。

，有道理因为不是自己的机器，不能做深入分析。
所以也就弄了这么一个简单的方式。

好在哪个东西在发arp是用的自己真实的mac

是传奇终结者的木马吧，最近我处理很多起这样的案例，到瑞星网站上下载一个橙色八月专杀工具

？？？？？？？？？？？？

只能监控不能防御

现在有很多ARP欺骗用的都不是真实的MAC地址,对判断是那台主机有问题带来了一定困难,对于防止arp欺骗的方法有很多,直接用arp -s ip mac来静态绑定是个简单的方法,先用arp -d清除掉原有的arp缓存,再静态绑定,最好还可以写一个批处理放在启动里,这样每次开机就会绑定正确的网关

真不错