iT邦幫忙

0

幽靈IP事件....疑似ARP攻擊???

各位高手先進前輩:
小弟簡述一下網路環境
防火牆 JUNIPER SSG-5 (DHCP派送)
串接3台L2 SWITCH,無設定網管功能
辦公室區分兩區
第一區為行政人員,網路設定 DHCP 網段 192.168.0.150~192.168.0.200 (可上網)
第二區為一班人員,網路設定 static IP 網段 192.168.0.101~192.168.0.149 (不設G/W)

問題描述:
第二區電腦兩台原先手動設定IP為192.168.0.103及192.168.0.104
開機後會偵測到網路上有相同IP,造成內部資源無法使用

在第二區辦公室,使用IP FREE SCAN軟體掃描網段,發現103及104確實有使用但沒有偵測到網卡MAC
使用指令ping 該兩個IP, ICMP皆有回應
但檢查第二區辦公室確實無電腦設備使用相同IP (才22台..一台一台檢查)

在第一區辦公室使用 IP FREE SCAN軟體掃描,103及104 IP就顯示沒有使用中了,
Ping該兩個IP也無回應 (兩個辦公室的網段是互通的)
行政區電腦IP查察後也無發現異狀(六台 DHCP派送的電腦)

目前嘗試處理方式有:
1.修復WIN XP系統 WINSOCK FIX
2.網卡驅動移除重裝 (含隱藏的網卡裝置)

不知道還有甚麼可能性會造成這樣的情況呢?
還請各位給點意見吧

CalvinKuo iT邦大師 7 級 ‧ 2014-09-22 17:20:52 檢舉
有開放無線AP給使用者連嗎? 與內部電腦共用DHCP伺服器嗎?
192.168.0.2~6 or 102~6 (可能是我們同事的家裡無線設備還不夠多吧)
192.168.1.2~6 or 102~6
還蠻容易跟NB/手機MAC衝的,我想是家用的AP租約都超長的(7天以上吧),會先用舊IP等到更新後才用新IP...

不是公司區網改網段,就是使用者的AP改。
不然就無線網段與內部區網切開(實體切或VLAN切)...
比較偷懶做法是,多架AP專供問題使用者走兩層NAT(會沒法連內網資源)出去...

另外,ARP攻擊應該會持續啦不會斷續不能連,要找到問題MAC,需再發生IP衝突時,下ARP去查是哪個MAC佔用,等到通了再去DHCP SERVER找同樣的MAC...
看看門神大有沒有更好的解法了...
slime iT邦大師 1 級 ‧ 2014-09-22 23:20:26 檢舉
用幾個工具組合看看:
1. 放台主機裝 wireshark , 將掃描結果排除已知的 MAC Address , 看看有沒有辦公室內未列管的網路設備.
2. 在每台電腦用 arp -d 移除 arp 暫存資料, 再重新 ping 看看.
James iT邦大師 6 級 ‧ 2014-09-23 08:31:59 檢舉
1.第二區PING得到第一區PING不到有可能是MASK設得比較大(網段比較小)
2.同網段掃不到MAC ADDRESS實在不可能,建議PING完後用arp -a指令確認是否有顯示103 104的mac address
3.找不到的IP可能在虛擬機、同網卡設多組IP、私接的網路設備、防火牆或switch用的ip

1 個回答

0
enen1980
iT邦研究生 1 級 ‧ 2014-09-23 09:38:48
最佳解答

可先FLUSHipconfig /flushdns
另有機會前人打死IP 在HOSTS FILE
C:\Windows\System32\drivers\etc\hosts

再在可PING 到103,104 的電腦上執行以下程式, 有需要可EMAIL 我~~SHARE 給你~
NetworkConnectLog
NetBScanner

lmg259 iT邦新手 5 級 ‧ 2014-09-23 09:43:55 檢舉

感謝您的回答
讓小弟來試試
您說的程式可否寄給小弟呢
EMAIL:Spence_Tsou@hetic.com.tw
不甚感激

我要發表回答

立即登入回答