幽靈IP事件....疑似ARP攻擊???

ip佔用

lmg259 2014-09-22 17:04:11 ‧ 3033 瀏覽

分享至

各位高手先進前輩:
小弟簡述一下網路環境
防火牆 JUNIPER SSG-5 (DHCP派送)
串接3台L2 SWITCH,無設定網管功能
辦公室區分兩區
第一區為行政人員,網路設定 DHCP 網段 192.168.0.150~192.168.0.200 (可上網)
第二區為一班人員,網路設定 static IP 網段 192.168.0.101~192.168.0.149 (不設G/W)

問題描述:
第二區電腦兩台原先手動設定IP為192.168.0.103及192.168.0.104
開機後會偵測到網路上有相同IP,造成內部資源無法使用

在第二區辦公室,使用IP FREE SCAN軟體掃描網段,發現103及104確實有使用但沒有偵測到網卡MAC
使用指令ping 該兩個IP, ICMP皆有回應
但檢查第二區辦公室確實無電腦設備使用相同IP (才22台..一台一台檢查)

在第一區辦公室使用 IP FREE SCAN軟體掃描,103及104 IP就顯示沒有使用中了,
Ping該兩個IP也無回應 (兩個辦公室的網段是互通的)
行政區電腦IP查察後也無發現異狀(六台 DHCP派送的電腦)

目前嘗試處理方式有:
1.修復WIN XP系統 WINSOCK FIX
2.網卡驅動移除重裝 (含隱藏的網卡裝置)

不知道還有甚麼可能性會造成這樣的情況呢?
還請各位給點意見吧

CalvinKuo iT邦大師 7 級 ‧ 2014-09-22 17:20:52 檢舉

有開放無線AP給使用者連嗎? 與內部電腦共用DHCP伺服器嗎?
192.168.0.2~6 or 102~6 (可能是我們同事的家裡無線設備還不夠多吧)
192.168.1.2~6 or 102~6
還蠻容易跟NB/手機MAC衝的，我想是家用的AP租約都超長的(7天以上吧)，會先用舊IP等到更新後才用新IP...

不是公司區網改網段，就是使用者的AP改。
不然就無線網段與內部區網切開(實體切或VLAN切)...
比較偷懶做法是，多架AP專供問題使用者走兩層NAT(會沒法連內網資源)出去...

另外，ARP攻擊應該會持續啦不會斷續不能連，要找到問題MAC，需再發生IP衝突時，下ARP去查是哪個MAC佔用，等到通了再去DHCP SERVER找同樣的MAC...
看看門神大有沒有更好的解法了...

slime iT邦大師 1 級 ‧ 2014-09-22 23:20:26 檢舉

用幾個工具組合看看:
1. 放台主機裝 wireshark , 將掃描結果排除已知的 MAC Address , 看看有沒有辦公室內未列管的網路設備.
2. 在每台電腦用 arp -d 移除 arp 暫存資料, 再重新 ping 看看.

James iT邦大師 6 級 ‧ 2014-09-23 08:31:59 檢舉

1.第二區PING得到第一區PING不到有可能是MASK設得比較大（網段比較小）
2.同網段掃不到MAC ADDRESS實在不可能，建議PING完後用arp -a指令確認是否有顯示103 104的mac address
3.找不到的IP可能在虛擬機、同網卡設多組IP、私接的網路設備、防火牆或switch用的ip

登入發表討論