抓包发现大量arp包 求解析

2. 问题分析：为什么会出现大量ARP包？

在极短的时间间隔内（您的截图时间跨度约10秒）出现如此密集的ARP请求，​​这绝对是不正常的​​。通常由以下原因引起：

1. 1.

   ​​IP地址冲突（最可能的原因）​​:

   • •

     ​​现象​​：您的抓包中出现了大量关于 172.16.18.44的​​重复ARP应答​​（172.16.18.44 is at 30:e3:a4:49:bb:78）。这强烈暗示网络中有另一台设备也配置了 172.16.18.44这个IP地址。

   • •

     ​​原理​​：当两台设备的IP地址相同时，它们会不断地向外宣告自己拥有该IP，试图“纠正”其他设备ARP缓存表中的错误映射，从而导致ARP应答风暴。

1. 3.

   ​​网络环路（Network Loop）​​:

   • •

     由于接线错误或交换机STP（生成树协议）失效，数据包在网络中无限循环。广播包（如ARP请求）在环路中会不断被复制和转发，耗尽带宽，形成广播风暴。

2. 4.

   ​​终端设备故障或软件Bug​​:

   • •

     某台网络设备（如摄像头、IP电话、PC）的网卡故障、驱动程序问题或操作系统异常，可能会导致其持续地发送ARP请求包。

3. 排查步骤与解决方案建议

请您按照以下步骤进行排查：

​​第一步：定位问题设备​​

1. 1.

   ​​查找重复IP​​：根据抓包结果，IP地址 172.16.18.44是首要怀疑对象。您需要登录网络的核心交换机或DHCP服务器。

   • •

     在交换机上使用命令 display arp | include 172.16.18.44（H3C/Cisco命令类似）查看这个IP地址对应了几个MAC地址。如果发现一个IP对应了多个MAC，即可100%确认是IP冲突。

   • •

     在DHCP服务器上查看租约记录，看 172.16.18.44被分配给了谁。

2. 2.

   ​​定位MAC地址​​：您已经有两个嫌疑MAC地址：

   • •

     30:e3:a4:49:bb:78(LiteonTechno_)

   • •

     58:ce:2a:be:9e:70(Intel_)

   • •

     在核心交换机上使用命令 display mac-address | include xxxx-xxxx-xxxx（将xxxx换成MAC地址片段）来查询这两个MAC地址连接在交换机的哪个端口上。然后顺着端口一路查下去，就能找到对应的物理设备。

​​第二步：解决问题​​

• •

  ​​如果是IP冲突​​：找到那两台配置了相同IP（172.16.18.44）的设备。将其中一台改为通过DHCP自动获取IP，或手动指定一个网络中未被使用的静态IP地址。

• •

  ​​如果是ARP欺骗​​：在交换机上配置​​DAI（动态ARP检测）​​ 或​​ARP表项固化​​等安全功能，并隔离中毒电脑进行杀毒。

• •

  ​​如果是网络环路​​：检查物理接线，拔掉疑似造成环路的网线。确保所有接入交换机的生成树协议（STP）是开启的。

​​第三步：后续预防​​

• •

  规范IP地址管理，尽量使用DH服务器分配IP，减少手动配置静态IP。

• •

  如果必须使用静态IP，最好在DHCP服务器上为其做​​地址保留​​或​​排除​​，避免地址池再次分配该IP。

• •

  开启交换机的安全功能，如IP+MAC绑定。

总结：从您的抓包信息来看，​​IP地址冲突的可能性最大​​。请您立即从排查 172.16.18.44这个IP地址开始，找到那两台“吵架”的设备，问题就能迎刃而解。