对wins协议不熟悉，抓到一些自认为比较奇怪的包，请释疑

zmc837

这几天一直在和mac:realtkf86672机器做斗争，暂时分出一个胜负来了，是这样的，前几天就这家伙进行不正常的网络活动，因为对交换机进行了一些配置，没有造成很大影响，但也够烦人的了。用sniffer找到了它的mac地址，但对应的问题有来了，在交换机上的mac地址表居然找不到它，交换机a说这个地址教交换机b，交换机b有说这个地址在交换机a，我都被蒙了，不知道这个地址是不是一个伪造的地址呢？也不敢肯定，因为我用的交换机是华为s2026c-si，就发现有些电脑是开着的，但交换机地址表没有，好奇怪，有知道原因的兄弟请顺便告知，后来只有一招了，在核心交换机上做了acl规则：

acl num 4100
rule 0 deny ingress 00e0-4cf8-6672 0-0-0 egress any
rule 1 deny egress 00e0-4cf8-6672 0-0-0 ingress any

隔离该主机，今天早上发现它还是有少量的数据包，于是抓包，都是一些wins包，对wins协议不熟，请兄弟们给个解释，附包：

[ 本帖最后由 zmc837 于 2006-8-31 09:45 编辑 ]

zmc837

问题一：下图中的l两个ip是什么意思，说明了什么网络行为（本网段192.168.1.0/24)
问题儿：下图中为什么出现那么例如，yahoo.com.cn、163.com等，这些网络行为又说明了什么？

artico

1、mac:realtkf86672这个主机到底有没有的？
2、[在交换机上的mac地址表居然找不到它，交换机a说这个地址教交换机b，交换机b有说这个地址在交换机a]
上面一句话说的糊涂，在隔离了mac:realtkf86672后交换机MAC表到底还没有这个MAC地址？

artico

问题一：下图中的l两个ip是什么意思，说明了什么网络行为（本网段192.168.1.0/24)

那就说明网络中有ARP欺骗。。。检查一下该IP是否还在网络中。。因为有可能IP和MAC都是伪造的。。（这个我最怕，因为还没有好的方法查）

zmc837

确实是arp欺骗，但抓到的数据包，都是6672这台机器发起的，找不到真正影响这次网络的计算机。我现在比较关心的是需要朋友解释上面的wins数据包是什么意思

artico

我上面的疑问都还没回复。。。。。？？