ARP攻击分析案例

1.用户需求

最近，医院的部分科室工作人员反映网络时不时会出现卡顿现象。尽管网络管理员已经采用了相关技术进行排查，但并未发现异常情况。因此，我们建议借助NetInside系统进一步分析和定位问题。

2.详细分析

针对上述异常问题，我们采取了以下详细分析。

流量分布图分析

通过NetInside的流量分布图看到，系统流量和接入的流量大小接近，其中有几个时间点，有明显的流量高峰，针对其中一个高峰，我们进行数据包下载分析。

数据包分析

通过对9秒的数据包下载发现，此数据包内全部为LannerEL-97:19:79对外发的ARP广播，9秒内的发包个数为110万次。

具体的MAC地址对应的IP地址信息如下。

3.分析结论

通过以上系统分析，我们发现了大量异常的ARP广播包，这表明某台终端可能存在中毒情况。

4.建议

经过对医院数据的分析，我们建议采取以下措施：针对网络上存在的异常报文问题，建议结合实际网络情况进行进一步分析。