ArpFlooding ​

如果你看到来自单台机器的大量 ARP 流量，它正在为本地网络上的许多 IP 地址查找 MAC 地址，那么你的网络中可能存在病毒，正在扫描网络以寻找可感染的机器。有人声称 Wootbot 病毒会这样做。

这并不限于 Wootbot——我在 nachi 爆发期间观察到，有些网络被随机 arp 和 icmp 请求严重淹没，这对 L2/L3 设备造成了很大压力——Anith Anand

-更新于 05 年 3 月 6 日（NetworkFlooding）

能够拖垮网络或防火墙的不只是蠕虫和病毒——最近我在为一家大型组织排查生产网络缓慢问题——最初我怀疑是某种病毒爆发或 ddos 攻击……不过多亏了 wireshark——当我对防火墙接口做端口镜像时，我注意到除了常规流量之外，单个接口上每分钟多达 300,000 个数据包（每秒 5000 个 udp 数据包）正在穿过防火墙（checkpoint）（出口接口还要翻倍），这让它严重不堪重负——在此事件期间，即使跨 f/w 接口的简单 ping 也会超时——上述流量是由有故障（或配置错误）的 syslog listenter 服务产生的，该服务不断发送那些错误消息——不过我也应该感谢 XP 中的 "pathping" 工具，因为它通过提供网络中的 RTT 和 Packet Drop rate，帮助我缩小问题范围；使用 pathping 时加上 -n 选项，可以让它更快地为你工作——"Anith Anand"

Imported from https://wiki.wireshark.org/ArpFlooding on 2020-08-11 23:11:18 UTC

相关 Wireshark Wiki 页面 ​

• Wireshark Wiki 首页Home · 入门与使用
• NetworkFloodingNetworkFlooding · 全量归档