局域网是否受到arp攻击

sygb · #1

sygb@ubuntu:~$ arp -a
? (192.168.1.1) at 00:E0:00:8C:E0:DF [ether] on eth0
? (192.168.1.128) at 00:E0:00:8C:E0:DF [ether] on eth0
过了一会
sygb@ubuntu:~$ arp -a
? (192.168.1.1) at 00:19:E0:AC:CA:EA [ether] on eth0
? (192.168.1.128) at 00:E0:00:8C:E0:DF [ether] on eth0
重启路由器，把00:E0:00:8C:E0:DF的剔除掉
（我是推断那个地址很有可能不是公司内部的。所以我把无线路由的密码改了。）
sygb@ubuntu:~$ arp -a
? (192.168.1.1) at 00:19:E0:AC:CA:EA [ether] on eth0

sygb · #2

没人知道吗？？？

xiehuipiaofeng · #3

我的也遇到过这种情况，不过我的是winxp系统。（网关是LINUX）

(192.168.1.1) at 00:19:E0:AC:CA:EA 和(192.168.1.128) at 00:E0:00:8C:E0:DF应该是正确的，
(192.168.1.1) 也出现和(192.168.1.128)相同的MAC地址，应该是局域网内有ARP网关欺骗。我不知道你的网络结构是什么样子的，你可以在你现在用到饿这台ubuntu上安装一个wireshark，实时监控网络中ARP包。然后再看看。

sygb · #4

现在问题是这个电脑 00:E0:00:8C:E0:DF 估计已经被我弄掉了，应该是前段时间别的公司用了我们的无线路由，他们公司的电脑出的问题，现在无法再查了

xiehuipiaofeng · #5

ARP病毒挺难防的，你这个还好办一些。我们单位的是网关地址被欺骗了，网关是linux系统，是不可能感染arp病毒的，肯定是局域网内的某个机器有这样的病毒。只是不好跟踪。一想这事就头疼。