WayOs路由“探测LAN口非法网关”功能导致网维控制台显示arp攻击

【问题现象】

安全中心绑定内网所有IP和MAC后,已分组客户机列表样式所有在线客户机提示有arp攻击,攻击源为未知MAC地址(内网不存在次MAC),如下图:

 


【原因说明】

此问题原因是由于WayOS路由开启了“探测LAN口非法网关”功能导致不断发送验证数据包被网维大师控制台误报。


【解决方案

关闭WayOS路由中ARP管理-ARP安全防护中的“探测LAN口非法网关”功能,如下图:


【问题分析】

在出现此问题时首先抓包看内网广播包的资源,抓包后发现内网有MAC地址后缀为a2:69:50的设备在频繁发送arp数据包,如下图:

客户机每7-8秒能收到一个类似的包,包的含义如下:

MAC为a2:69:50的设备发送arp广播包(Broadcast)告诉所有收到此广播包的设备=>IP为192.168.1.1的网络设备的MAC地址是38:60:77:a2:69:50

而192.168.1.1的IP是网关地址,38:60:77:a2:69:50 的MAC也的确就是网关的MAC,由此想到了一些带有arp抑制功能的路由会发送类似的广播包侦测局域网环境。而我们超级arp驱动在收到类似广播包以后会进行分析处理并上报给服务端产生误报。

本文来源:顺网科技知识库 作者:顺网科技

聚合推荐
 没有任何专题栏目
声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。若文章侵犯了您的相关权益,请及时与我们联系,我们会及时处理,感谢您对本站的支持!联系email:support@txwb.com,系统开号,技术支持,服务联系QQ:1175525021本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下

推荐文章


没有任何图片教程
  • 没有推荐教程