我着中ARP了帮我看看分析啊

why778 · 发表于 2008-8-13 09:05:04

中了ARP不掉线但是收银机看不到1-40号机前21分中可以控制1-40号以后就不行

why778 · 发表于 2008-8-13 09:10:43

192.168.1.252是电影服务器192.168.1.254是收银机

oldjiang · 发表于 2008-8-13 09:38:03

参考http://www.csna.cn/forum.php?mod=viewthread&tid=9417的5#设ARP过滤器抓包

oldjiang · 发表于 2008-8-13 09:38:08

谁能说说网吧收银机是个什么样的工作原理？

liuheliuxi · 发表于 2008-8-13 16:57:47

看安装的是什么网吧管理软件了，有些是ARP欺骗

why778 · 发表于 2008-8-13 21:34:44

WX2004的管理软件

why778 · 发表于 2008-8-13 22:31:13

我抓了ARP和广播的

oldjiang · 发表于 2008-8-14 09:06:06

很多机器找254，IP是40之前的
找几个机器，看看arp缓存，254对应的是哪个mac？
欺骗之前一般都有扫描的过程，设了过滤器，可以长时间抓包

oldjiang · 发表于 2008-8-14 09:14:16

“收银机看不到1-40号机”，能ping通吗？收银机ping 1-40号机，1-40号机ping 收银机

why778 · 发表于 2008-8-15 21:09:28

ping 不同啊前20分钟可以后来就不行了

why778 · 发表于 2008-8-15 21:12:45

254就是收银机，不不回是主机中毒了把？

why778 · 发表于 2008-8-15 21:16:07

没开客户机不设过滤是IP：252请救ARP风暴

oldjiang · 发表于 2008-8-15 22:23:00

从7#的数据包看不出病毒

oldjiang · 发表于 2008-8-15 22:40:59

1、搜索WX2004，万象，收银机上装的是服务端，每个上网的机器上装的是客户端，是这样吗？这东西外挂挺多的。
2、最好通过手册、厂商网站、技术支持、抓包等方法了解一下他的工作模式，比如使用的协议是TCP还是UDP，哪个端口。“看不到”其实是个通讯问题。
3、我估计他的工作模式跟诺顿企业版相似，客户端启动的时候会主动联系服务器检查是否有新的病毒定义等，在服务器端操作客户端则是服务端发起连接，如果操作失败，可能是客户端没有启动或者有防火墙等。

[ 本帖最后由 oldjiang 于 2008-8-15 22:44 编辑 ]

why778 · 发表于 2008-8-16 09:52:07

不过滤有TCP协议问题192.168.1.2通讯192.168.1.254无法掉数据包端口是11011也就是WX的TCP协议的端口我门用的TCP/IP协议

ieooo · 发表于 2008-8-16 15:03:58

WX2004 是通过IPX协议认客户机的.

我着中ARP了帮我看看分析啊

本帖子中包含更多资源

回复 11# 的帖子