我的包，没有找到是ARP/还是病毒的问题

zhudizi · 发表于 2009-3-6 09:11:56

这是刚搞到的包。
老是提示有ARP攻击，
在包里没有找到，麻烦大家帮我分析一下，谢谢。

liuheliuxi · 发表于 2009-3-6 09:32:53

没有部署正确，没有抓到数据，唯一一个数据是00:30:6E:04:E9:44自称是192.168.68.1，你看看是否是真的IP，如果不是，那他就是arp中毒者了

zhudizi · 发表于 2009-3-6 09:45:57

00:30:6E:04:E9:44 这个是ROS上的一个网卡，它接的是WAN，

192。168。68。0 是这个网内老提示ARP，他对应的是ROS上lan2卡。

杜鸣 · 发表于 2009-3-6 11:21:19

关注关注关注关注

oldjiang · 发表于 2009-3-6 22:41:32

你抓包的机器，DNS查询netbot attacker，谷歌搜索：““NB僵尸”是一款具有远程管理，DDOS负载压力测试系统。<br>强大的远程管理功能，文件管理,屏幕监控,远程shell.进程管理。<br>威力最大的攻击模式，Syn组合.Udp混合.Icmp洪水.Tcp.并发.CC变种.等<br>强大的技术支持.服务端运行隐蔽，过主动防御,穿墙,自助免杀系统 ”，是不是中毒了？
定位arp-request协议，发包前8位的机器都有arp扫描的嫌疑