菜鸟的疑问：网关里怎么有个192.168.0.116的可疑的ip地址？(附工程文件)

zggzjun · 发表于 2006-9-20 22:55:42

我用的局域网，今晚网络好慢
打开科来发现物理端点浏览里
本地网段栏里有好几个用户2个用户的地址是192.168.0.116而
网关栏有好多地址其中有个192.168.0.116和网关192.168.0.1很像，
用了防arp的软件还是老有关于告诉192.168.0.116的arp数据包，
这个地址有问题吗？
网络慢是用户多了还是arp攻击呢？

[ 本帖最后由 zggzjun 于 2006-9-21 00:41 编辑 ]

大水牛 · 发表于 2006-9-20 23:23:01

"网关栏有好多地址其中有个192.168.0.116和网关192.168.0.1很像"是指MAC地址很像还是相同或是其它意思? 放个工程文件上来看看呢.

zggzjun · 发表于 2006-9-21 00:41:52

楼上请看文件

yucl_0 · 发表于 2006-9-21 01:04:48

把ip：192.168.0.116 mac ： 00:0C:76:54:95:CC (Micro-star) 隔离，这机器发arp请求9192包，不是病毒攻击就是arp扫描，先隔离它，然后找出改机，继续分析问题

zggzjun · 发表于 2006-9-21 01:19:51

有隔离教程让我参考吗？，我是个大菜鸟。
为什么我在论坛下载的防arp软件防不住它呢？

jlspllp · 发表于 2006-9-21 09:38:32

是不是还有个IP是220和200的二个IP啊,数据包来看是IP为116的主机先扫描网络电脑后发送95:CC这个MAC地址是网关IP的ARP数据包.以这数据包来看好象只有二台电脑掉线,不知道对不对,请版主更正.

KelvinFu · 发表于 2006-9-21 09:40:37

对mac:00:0C:76:54:95:CC (Micro-star) ip:192.168.0.116 做个全套服务！

[ 本帖最后由 KelvinFu 于 2006-9-21 10:26 编辑 ]

zggzjun · 发表于 2006-9-21 10:26:33

这是今天早上的工程文件，这次网关老是发arp高手帮我看看是不是正常现象？

huamao2006 · 发表于 2006-9-21 10:53:52

工程 2.rar这个数据包有2个问题：其一，网关一直在请求192.168.0.111，你的网关设备是不是一个NAT设备，如果是的话，那在这个NAT设备上可能映射了192.168.0.111的某一种服务，而现在192.168.0.111服务器已经关闭或者不存在，当通过NAT外面来访问192.168.0.111这台映射的服务时，发现主机不存在了（网关设备通过发送这个arp 192.168.0.111来寻找主机是否存在），如果NAT外网一直访问这个服务的话，就会这个现象。

huamao2006 · 发表于 2006-9-21 10:58:14

其二，192.168.0.110应该是arp攻击，在不停的请求网关192.168.0.1的物理地址，正常情况下一次请求就足够了。找到192.168.0.110这台电脑查看是否安装了甚么攻击软件或者是否中了病毒。
以上只代表个人意见，如有其他意见可共享出来大家探讨探讨！

huamao2006 · 发表于 2006-9-21 11:02:10

补充，以上第一个问题，我还想到，NAT设备是一台主机还是一台硬件设备，如果NAT设备是用电脑做的软路由（NAT）就有可能是病毒，但是这种情况也不排除是我上面说明的情况；如果NAT设备是一台硬件设备（比如ADSL宽带路由器等），那就是我以上说明的情况。

artico · 发表于 2006-9-21 15:02:51

原帖由 huamao2006 于 2006-9-21 10:58 发表
其二，192.168.0.110应该是arp攻击，在不停的请求网关192.168.0.1的物理地址，正常情况下一次请求就足够了。找到192.168.0.110这台电脑查看是否安装了甚么攻击软件或者是否中了病毒。
以上只代表个人意见，如有其 ...

对于第一点，偶也不知道什么意思

对第二点有点分区：
本人好象没看到有192.168.0.110的ARP请求，相反
倒是有不少192.168.0.1对192.168.0.110的无请求应答，也就是说应该是192.168.0.1攻击192.168.0.110，，，所以应该看看000f3d140f1d正常否

huamao2006 · 发表于 2006-9-21 15:59:10

实在不好意思,请楼上从编号为511的数据包看起哈,关于第一个问题,请在网上查找有关NAT的资料,谢谢!

artico · 发表于 2006-9-21 17:15:04

原帖由 huamao2006 于 2006-9-21 15:59 发表
实在不好意思,请楼上从编号为511的数据包看起哈,关于第一个问题,请在网上查找有关NAT的资料,谢谢!

不好意思，，我的过滤可能有点问题，刚刚看了确实有。。。
不过，矩阵里面没看到192.168.0.1这个IP，不知道是什么意思！

huamao2006 · 发表于 2006-9-21 17:21:24

矩阵统计的是IP,是物理机和最终的目的主机(一般为公网IP)通讯的情况,物理机没有和网关直接通讯(可以自己ping一下自己的网关就有结果了)!
最然有很多和网关通讯的arp数据包,但是arp是2层的通讯,不是IP,所以在矩阵里面没有看到网关的IP地址,而只看到了物理主机和公网IP的通讯!

artico · 发表于 2006-9-21 17:36:07

原帖由 huamao2006 于 2006-9-21 17:21 发表
矩阵统计的是IP,是物理机和最终的目的主机(一般为公网IP)通讯的情况,物理机没有和网关直接通讯(可以自己ping一下自己的网关就有结果了)!
最然有很多和网关通讯的arp数据包,但是arp是2层的通讯,不是IP,所以在矩 ...

原来是这样工作，一直以为矩阵是可以显示所有IP的，不管是那个层，，，还是觉得这样的矩阵工作方式不妥，暂时又说不出来

菜鸟的疑问：网关里怎么有个192.168.0.116的可疑的ip地址？(附工程文件)

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块