Question

wireshark 抓包数据分析？ARP攻击？

用wireshark抓包，发现有许多的ARP包！
先将数据列出：
08:10:17:23:28:14 ff:ff:ff:ff:ff:ff ARP Who has 192.168.10.30? Tell 192.168.10.1
08:10:17:23:28:14 ff:ff:ff:ff:ff:ff ARP Who has 192.168.10.31? Tell 192.168.10.1
08:10:17:23:28:14 ff:ff:ff:ff:ff:ff ARP Who has 192.168.10.32? Tell 192.168.10.1
在Dos 里输入arp -a 出现一个路由器的IP和一个不是我自己的IP地址。
请高手解决~网速实在是太慢了~~
如果知道她的Mac 怎样才能在我电脑上搞定他呢？
经分析，上面的Mac地址是 路由器的！
还有这样的分析：
00:e0:5c:00:a2:27 ff:ff:ff:ff:ff:ff ARP Who has 192.168.10.112? Tell 192.168.10.124

Answer 1

明显是由于内网中有终端中了arp病毒。arp攻击分为两种一种是欺骗内网客户端,即中arp病毒的这台主机以很高的频率想局域网中不断地发送错误的网关MAC-IP对应关系（向局域网中的其他主机发送广播说自己是网关）结果局域网中的其他主机将数据包都发向该中毒主机最终导致数据发送不出去而掉线；另一种是欺骗网关，即中毒的这台机器以高频率持续地向网关发送错误的内网客户端mac-ip对应关系以改变网关的arp表（即告诉网关下面客户端的mac对应得ip地址都是自己）导致内网发送到公网的数据在返回时都返回到中毒的这台主机上，最终导致内网的客户端无法接受公网返回的数据而显示掉线。
目前采用最多的就是双绑但这只是治标不治本的方法
要想真正实现内网的安全管理光靠硬件设备和绑定是不可能实现的，只有将内网的普通网络提升到“免疫网络”才能真正实现内网的安全可管理。欣向免疫墙路由器采用软硬件结合彻底解决因以太网底层协议漏洞出现的arp攻击等问题！！
免疫网络的主要理念就是自主防御和管理。

Answer 2

行为特征：地址连续
猜测：192.168.10.1正在进行地址扫描。
作为路由器自身是不需要做地址扫描的，这里有两种可能。
一：来自外部网络，正在对内网的IP进行扫描，这要看路由器采用的什么转换机制。进行解决
二：内网中有机器伪装成路由器08:10:17:23:28:14 - 192.168.10.1在进行扫描。如果上网可以通，只是速度慢，应该不可能这个对应关系都被伪装了。确认一下这个MAC - IP 对应关系可查出伪装主机。

另，网速慢跟这个关系不大，ARP包本身不大，也不需要占用路由器资源，除非扫描太过频繁。否则应查找其他原因。

Answer 3

这三个数据包是192.168.10.1发出的查询包而已，不一定是arp攻击
网速太慢了 可能是有人在下载占用了大量的带宽，也有可能是有人在使用p2p终结者，抢占了网络的带宽，建议你用免疫网络解决方案，精细的带宽控制，并且能从网卡上拦截病毒的攻击，是解决网络问题的最有效手段。

Answer 4

哎， 这是192.168.10.1这个IP向内网发送ARP广播包，意思是:问谁是30、31、32并回应192.168.10.1

FF:FF:FF:FF:FF:FF是广播

ARP Who has 1.1.1.1? Tell 192.168.10.1
意思是 ：谁是1.1.1.1 回复192.168.10.1
很简单的。