谁能分析一下中了什么病毒吗？

bin0131 · 发表于 2009-3-10 13:30:11

134.104.62.184这台电脑经常无法ping通网关，其它内网电脑都正常，该电脑ping内网其它电脑也正常，附上抓包文件，请高手分析一下中了什么病毒那

bin0131 · 发表于 2009-3-10 16:47:39

顶一下先了！！！！！！

oldjiang · 发表于 2009-3-10 20:04:49

这两个IP不是一个子网的？

bin0131 · 发表于 2009-3-10 20:05:26

为什么ping网关的包无回应那

bin0131 · 发表于 2009-3-10 20:21:12

是一个子网的掩码是255.255.255.128

oldjiang · 发表于 2009-3-10 20:50:08

在这个掩码下，184和129是一个子网，前50个包都无应答
后面有应答的，那00:00:0C:07:AC:00和00:0A:42:A5:92:FC究竟哪个是129的mac呢？
129是网关的ip？

bin0131 · 发表于 2009-3-10 21:00:35

00:00:0C:07:AC:00是网关

oldjiang · 发表于 2009-3-10 21:32:38

那应答为什么来自00:0A:42:A5:92:FC？

bin0131 · 发表于 2009-3-11 09:33:36

那是不是ARP欺骗那

oldjiang · 发表于 2009-3-11 09:47:03

首先看看00:0A:42:A5:92:FC是谁的mac
在134.104.62.184上arp -a看看，装个金山的arp防火墙观察有无效果
arp欺骗之前往往要扫描，而arp扫描是广播包，用科来很容易抓到的，设一个arp过滤器可以长时间抓包

bin0131 · 发表于 2009-3-11 10:10:08

查过了00:0A:42:A5:92:FC这个是网关的真实地址，00:00:0C:07:AC:00是vlan的子接口地址

bin0131 · 发表于 2009-3-11 10:11:30

应该不是arp欺骗，因为ping不通网关后，查了一下arp -a没看到其它的地址。

oldjiang · 发表于 2009-3-11 10:26:05

原帖由 bin0131 于 2009-3-11 10:10 发表
查过了00:0A:42:A5:92:FC这个是网关的真实地址，00:00:0C:07:AC:00是vlan的子接口地址

看不懂
一般网关就是vlan子接口

bin0131 · 发表于 2009-3-11 12:37:11

但是我抓了其它正常的包也是一样的那，icmp回复的也是00:0A:42:A5:92:FC

bin0131 · 发表于 2009-3-12 13:56:39

自己在顶一下先了那！！！！

bin0131 · 发表于 2009-3-20 16:31:10

终于找到原因了，原来这边有台交换机配了这个地址。

bin0131 · 发表于 2009-3-20 23:49:37

本来这里的交换机都是不设管理地址的