抓包发现大量非本局域网(ip:192.168.0.x),而地址为(172.16.x.x)的发送大量ARP数据包且源地址和目的地址都在172.16.x.x,每天在公司员工上班大量开机时间段,网关(防火墙)宕机,整个网络不能连接互联网,ping 网关不通。只能重启一下网关,才能恢复。这是什么情况?
看下maC地址是否是都是某几台发出来的?找找共性
逐个排查找到发出ARP包的电脑,很可能是中毒导致。我以前就遇到过一次,中毒的电脑每秒发出几百个ARP包,而且包的源地址都是伪造的。
Ping不通网关这个有点想不通,是防火墙受到攻击把性能都占满了吗?下次可以去看下防火墙的性能,你抓包后可以看下源IP的mac地址,然后在交换机上查mac端口对应表,然后找到对应的终端去检查是否这个终端有病毒
通过网络设备show arp加show mac 找到对应的接口就能找到源头了