ARP攻击，哪位大佬帮我看看

roiljs1

求大佬帮我看看，最近局域网一直有ARP攻击，绑定了MAC地址也不管用，通过路由扫描局域网内的MAC就是没有这个MAC
这里抓包记录请大佬帮忙分析一下   Wireshark抓包记录https://wwqk.lanzoum.com/irO2g0szm2qj

sbwfnhn

还有注意ICMP报文，我这两天内网有人电脑不是中毒，而是有人下载了翻，墙工具，我觉得这些工具有后门，被当肉鸡了，经常导制内网中断，卡，可能在互联网上被人穿透做成免费代理节点了。通过智能交换机限速、溯源，等才定位到，以前路由器太差，直接宕机根本无法排查，所以一台好的设备还是要的。

firo1603

明显有人私接了家用无线路由，并且插了LAN口，导致dhcp混乱了

交换机可管么，配个dhcp snooping

这个mac查下来是 Hammock Corporation  好像是日本的什么设备

jyjjf

建议采取隔断排除法，一个一个网口排查，或者一个一个部门，譬如临时把一个部门的网络都接到一个傻瓜交换机，然后顺藤摸瓜排查

sbwfnhn

ARP攻击，这东西没有智能交换机基本无解

原因有几种：
1、中病毒
2、有人下载了网上别人有后门的程序
3、有人恶搞

分析：
arp攻击，普通不可管的非智能交换机，所有的ARP信息会向全网络扩散，包括mac地址、ip信息。而且全部都可以违造

智能交换机
1、可以溯源追踪，可以根据交换机的端口，可以直接定位到具体哪台机器发现的攻击、
2、可以自动防护，IPSG+DAI+arp严格学习，非法ARP根本无法进入交换机，也就无法攻击。
3、如果开启几十种arp保护，具体看https://support.huawei.com/hedex/hdx.do?docid=EDOC1100271573&id=ZH-CN_CONCEPT_0177870046  里面有各种防护的文档，还有攻击原理与防护原理，案例等。

roiljs1

firo1603 发表于 2023-4-14 18:01
明显有人私接了家用无线路由，并且插了LAN口，导致dhcp混乱了

交换机可管么，配个dhcp snooping

Hammock Corporation是日本的什么设备？因为单位和日本有些业务。感觉你说的这个有些思路了

roiljs1

jyjjf 发表于 2023-4-14 18:16
建议采取隔断排除法，一个一个网口排查，或者一个一个部门，譬如临时把一个部门的网络都接到一个傻瓜交换机 ...

兄弟这样不行，第一天我就通过隔断法，通过追踪还找了一台电脑，当时把网断了居然好了。结果过了第二天又开始，总感觉内网被渗透了是的不停的变幻电脑。经过我几天的追踪发现那些MAC都是我图上那个MAC地址伪造的。但是按个MAC我在内网又找不到

shimianmaifu

arp攻击，mac都是伪造的，你查不到的，网络简单的话物理方式一点点排查吧
不然就是一点点分析数据，来自那个端口，再一点点差

John_Mac

什么交换机？如果是华为的直接dis mac查，或者查ARP表对应的地址