问题:用绿色的聚生网管对网络进行网络监控时发现无法再控制了,只发现监控机的流量表在动而其它的被监控的主机的流量均为零,有时监控机的流量超大,当然服务已经开启。
解决:由于近期网络时常掉线,怀疑是ARP木马在作怪,所以就在监控机上安装了360ARP防火墙,此时发现一旦开启监控,就会发现防火墙抓到了一个ARP欺骗包,问是否要结束进程,或是将之加入白名单,起先一段时间监控正常,后来发现又不正常了,故将360ARP防火墙关闭后发现监控又能发挥正常了。因为此软件的工作原理就是根据ARP欺骗骗取主机对默认网关(192.168.1.1)的信任,从而导致从主机发往网关的上行数据请求包被网管软件截获,修改IP--MAC表,即所有欲上网的主机所发的请求包(上行)均从网管主机经过,而从外网回应的数据包(下行)则直接下发给真正请求的主机,不经过网管主机。所以网管主机中的网管软件里所显示的下行流量是估算出来的,并非真确。如果你在命令行窗口中输入 arp -a 后你会发现,第一个地址(网关)即为网管地址而非真正的网关。
评论