求助：此日志记录的是否为ARP攻击？

tangkexyz

这是最近几天的防火墙日志，大家帮忙看一下。是不是ARP攻击造成的？

日期/时间	程序	行为	源IP	源端口	目标IP	目标端口	协议[/td]
11/30/09 10:28:49	System	阻止	192.168.1.101	2811	192.168.1.100	137	UDP
11/30/09 10:29:06	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:29:08	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:29:10	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:29:11	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:29:43	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:29:44	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:29:46	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:29:47	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:29:49	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:30:20	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:30:21	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:30:23	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:30:24	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:30:26	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:33:58	System	阻止	192.168.1.101	1051	192.168.1.100	137	UDP
11/30/09 10:34:56	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:34:57	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:35:03	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:35:04	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:35:10	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:35:11	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:47:08	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:47:10	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:47:15	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:47:17	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:47:22	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:47:26	System	阻止	192.168.1.101	1516	192.168.1.100	139	TCP
11/30/09 10:47:32	System	阻止	192.168.1.101	1516	192.168.1.100	139	TCP
11/30/09 10:48:15	System	阻止	192.168.1.101	1517	192.168.1.100	139	TCP
11/30/09 10:48:17	System	阻止	192.168.1.101	1517	192.168.1.100	139	TCP
11/30/09 10:48:23	System	阻止	192.168.1.101	1517	192.168.1.100	139	TCP
11/30/09 10:49:06	System	阻止	192.168.1.101	1518	192.168.1.100	139	TCP
11/30/09 10:49:08	System	阻止	192.168.1.101	1518	192.168.1.100	139	TCP
11/30/09 10:49:14	System	阻止	192.168.1.101	1518	192.168.1.100	139	TCP
11/30/09 10:49:57	System	阻止	192.168.1.101	1519	192.168.1.100	139	TCP
11/30/09 10:50:00	System	阻止	192.168.1.101	1519	192.168.1.100	139	TCP
11/30/09 10:50:06	System	阻止	192.168.1.101	1519	192.168.1.100	139	TCP
11/30/09 10:59:21	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:59:28	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:59:35	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP
11/30/09 10:59:36	System	阻止	192.168.1.101	137	192.168.1.100	137	UDP

naterrykim

百度到的：

137端口的主要作用是在局域网中提供计算机的名字或IP地址查询服务，一般安装了NetBIOS协议后，该端口会自动处于开放状态。
　　要是非法入侵者知道目标主机的IP地址，并向该地址的137端口发送一个连接请求时，就可能获得目标主机的相关名称信息。例如目标主机的计算机名称，注册该目标主机的用户信息，目标主机本次开机、关机时间等。此外非法入侵者还能知道目标主机是否是作为文件服务器或主域控制器来使用。

137端口存在的漏洞：因为是UDP端口，对于攻击者来说，通过发送请求很容易就获取目标计算机的相关信息，有些信息是直接可以被利用，并分析漏洞的，比如IIS服务。另外，通过捕获正在利用137端口进行通信的信息包，还可能得到目标计算机的启动和关闭的时间，这样就可以利用专门的工具来攻击。

　　操作建议：建议关闭该端口。




应该不是arp攻击哦
comodo对arp的攻击较弱，需要的话可以安装个金山或彩影arp防火墙

虽然我常使用聚生类软件，不喜欢别人安装arp防火墙

[ 本帖最后由 naterrykim 于 2009-11-30 17:57 编辑 ]

tangkexyz

非常感谢

yixuebin

我也想弄明白这是怎么回事

柯林

这不叫ARP攻击，仅仅是局域网共享的探测机器名称的行为被阻止而已。日志显示的地址有点奇特，不知道是不是用了路由器。
毛豆防ARP的效果未知，至少没有明确的可设置处，要防ARP，加个金山的ARP防火墙或者彩影之类的专防墙。