接上一帖子！还是请教ARP攻击问题！

bushuoaini

2.在断网期间，有外网的某目标地址与本地192.168.0.17这个地址连接，源端口13422，目标端口不断变化！


3.延迟超高的期间伴随有未到达的ICMP


请大家帮忙分析下，这个问题这两天频繁的出现！
我菜鸟，分析能力差！如果有兴趣的朋友愿意帮忙我就把抓包数据全部发上来大家共同研究！

oldjiang

第一个图的红色部分，目标地址两个，目标端口两个，没有不断变化啊。参考http://www.csna.cn/forum.php?mod=viewthread&tid=9417的2#，到192.168.0.17上看看是什么进程。包并不密集，应该没什么问题。
第二个图，ping 255的地址比较奇怪，掩码是多少？

[ 本帖最后由 oldjiang 于 2008-8-8 21:16 编辑 ]

bushuoaini

网内根本没有255 这个地址 ！
这个包是在延迟超高的情况下抓的！

oldjiang

90 ping 255，255还应答了
从数据包找出255机器的mac，如果机器不多就逐个看，多就看交换机的mac地址表，参考http://www.csna.cn/forum.php?mod=viewthread&tid=10046

bushuoaini

饿，谢谢老大了！可是我还是看不懂ethereal解码后的详细数据！

我现在可以现抓包，现在的网络情况不稳定，丢包率在3%左右，ping值10-60, 平时正常情况应该是0丢包，ping值10-15！
我抓完传上来老大帮忙看看好吗？

oldjiang

好啊
很多人都会看你的包
ethereal抓的包科来也能看