局域网中的蠕虫病毒

ilive

1、  问题现象和疑问：
我用科来抓包发现  其中一台主机不停得在从本子网第一台电脑到最后一台电脑轮番发送ARP请求 有点感觉像是蠕虫

但是我又用arp -a观察 网关里面居然有他···  莫非是ARP病毒？  但是我从抓的包来看 他只是在到处询问 请求应答  并没有告诉别人他自己就是172。18。30。1 这个网关啊？

但是我的arp -a里面本来就有他（可能在这我对这个ARP -A还不是很理解，他是不是显示缓存里面已经建立连接的IP 并不一定就是网关啊）  


在抓包的同时 我也发现 路由器也在不停得从1到255的轮番发送ARP请求 他的这个请求是不是为了防止ARP欺骗  那台异常机子是为了传播蠕虫对不对啊。


还有就是我想看下 所有那台异常主机的所有数据包 （我想确认下 一旦有人应答了他的ARP后 他会做什么）  麻烦各位牛人给小弟讲讲

2、  网络架构情况：（尽可能附上草图）
校园网

3、  关键网络设备/节点/服务器情况：（名称＋IP＋MAC）
网关172.19.60.1
测试主机172。19。63。65


[ 本帖最后由 ilive 于 2006-8-31 14:26 编辑 ]

artico

先先看看这个。。。http://www.csna.cn/forum.php?mod ... &extra=page%3D1

ValorZ

原帖由 ilive 于 2006-8-31 14:00 发表
我用科来抓包发现  其中一台主机不停得在从本子网第一台电脑到最后一台电脑轮番发送ARP请求

请求ARP的目的是为了和那台机器进行点对点的通信。

对于一个网段出现ARP穷举的扫描，可以实现很多目的。比如，我可以通过ARP扫描来确定哪个IP的机器正在线上工作。

arp -a所能看到的是当前你机器所知道的IP和MAC的映射关系

ilive

但问题是怎么能区分哪些是恶意的扫描呢？ 尤其是区分出来蠕虫的问题

artico

1、检查172.19.61.108,有大量快速IP扫描动作
2、检查172.19.61.23，有小量定期分散IP扫描动作
3、OEM-MICRO是什么服务器？提供了那些服务器？是否有定期中断网络连接现象？

artico

3、  关键网络设备/节点/服务器情况：（名称＋IP＋MAC）
网关172.19.60.1
测试主机172。19。63。65

上面的MAC也、特殊服务器也请补上去。。（对比正确的MAC很重要）


但问题是怎么能区分哪些是恶意的扫描呢？ 尤其是区分出来蠕虫的问题

光从扫描上有点难区别，，，个人觉得扫描不带攻击性，，，，
蠕虫的扫描会对漏洞进行攻击并传播。。。（是扫描后的区别）

wlxinsheng

兄弟,算你走运.及时发现了..要不然的话你的网络可就麻烦了..我看了一下你的抓包记录.有两台机器有些问题.一台是172.19.61.108(Wiltrn043A6D)  还就一台就是.172.19.61.23(0015F29C2C84)

ilive

麻烦楼上具体说下 这两台怎么了

hz123

你自己去查查是不是中了病毒了啊