CSNA网络分析论坛»首页 流量分析 网络分析 网络不稳定,求各位大侠支招
返回列表 发帖
查看: 12515|回复: 17

网络不稳定,求各位大侠支招

[复制链接]
daoker
发表于 2006-9-22 22:20:04 | 显示全部楼层 |阅读模式
最近网络很不稳定,“网络连接“里的”internet网关"总是消失。有时候停用网络连接,然后再启用,又可以上,但过一会儿又不行了。
然后我用anti arp sniffer这个软件保护网关的mac地址,总是提示“mac地址为 00-c0-02-ed-91-cc 的计算机正在发送ARP欺骗数据包,攻击者MAC地址已经记录,伪造的ARP数据已清除!",我停用自动保护,然后追捕攻击者,但是也找不到相应的IP地址。
    我找遍了mac地址,就是找不到这个,这是什么原因呢?
    是局域网内有病毒吗?
    那应该怎么杀毒呢?
    会不会是我自己的电脑有病毒呢?(我重装了两次系统也是这样)
回复

使用道具 举报

garnett_wu
发表于 2006-9-22 23:15:50 | 显示全部楼层
http://www.csna.cn/forum.php?mod ... &extra=page%3D1

http://www.csna.cn/forum.php?mod ... &extra=page%3D1

[ 本帖最后由 garnett_wu 于 2006-9-22 23:17 编辑 ]
回复

使用道具 举报

zmc837
发表于 2006-9-23 08:29:50 | 显示全部楼层
ip地址是伪造的,楼主要追查的应该是根据mac地址去追查,如果mac地址也是伪造的话可以过滤该mac地址的数据包。
回复

使用道具 举报

artico
发表于 2006-9-23 09:11:34 | 显示全部楼层
原帖由 zmc837 于 2006-9-23 08:29 发表
ip地址是伪造的,楼主要追查的应该是根据mac地址去追查,如果mac地址也是伪造的话可以过滤该mac地址的数据包。

智能=傻瓜式交换机下出现这样的问题拿什么来过滤呢?头疼了吧。。。
回复

使用道具 举报

北风物语
发表于 2006-9-23 10:32:20 | 显示全部楼层
用比较物理的办法来解决,一个个查.
回复

使用道具 举报

wlxinsheng
发表于 2006-9-23 13:10:16 | 显示全部楼层
你先把那台有问题的机器给断开隔离一下试试看...
回复

使用道具 举报

KelvinFu
发表于 2006-9-24 16:13:59 | 显示全部楼层
用科来网络分析系统技术交流版抓包分析,找出问题主机,再来想办法!
LZ可以把数据报文件传上,大家研究
回复

使用道具 举报

dinglinqi
发表于 2006-9-24 16:17:26 | 显示全部楼层
大陆就没有人能回答上面遇到的问题了吗?
回复

使用道具 举报

zmc837
发表于 2006-9-24 21:27:18 | 显示全部楼层
原帖由 dinglinqi 于 2006-9-24 16:17 发表
大陆就没有人能回答上面遇到的问题了吗?

楼主没有提供抓的数据包给我们,我们也很难判断,遇到问题不要着急,建议楼主正确布置抓包主机位置,用科来软件抓包,上传给我们兄弟们探讨。在科来的节点浏览中,如果一个ip有多个mac地址的话,往往就能很快定位问题主机。
回复

使用道具 举报

daoker
 楼主| 发表于 2006-9-25 01:32:49 | 显示全部楼层
很感谢大家的帮助!
科来这个软件我不太会用,我发个包上来吧,你们帮我看看,我始终怀疑192.168.10.251这台电脑有问题(我是从防火墙上看到的,总是看到这个地址的信息)。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

daoker
 楼主| 发表于 2006-9-25 01:46:55 | 显示全部楼层
发两张防火墙上的截图(一个是192.168.10.251的,还有一个是192.168.10.222的),这是什么意思?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

daoker
 楼主| 发表于 2006-9-25 01:49:25 | 显示全部楼层
拦截的是什么呢?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

artico
发表于 2006-9-25 09:02:19 | 显示全部楼层
原帖由 daoker 于 2006-9-25 01:32 发表
很感谢大家的帮助!
科来这个软件我不太会用,我发个包上来吧,你们帮我看看,我始终怀疑192.168.10.251这台电脑有问题(我是从防火墙上看到的,总是看到这个地址的信息)。


192.168.10.251从数据包里面没看出有问题,倒是192.168.10.183一直在扫描,得去检查一下看看是什么。
回复

使用道具 举报

artico
发表于 2006-9-25 09:07:05 | 显示全部楼层
原帖由 daoker 于 2006-9-25 01:46 发表
发两张防火墙上的截图(一个是192.168.10.251的,还有一个是192.168.10.222的),这是什么意思?

从两图上看,有基于对本机端口4600范围的类似扫描被拦截;但是你的QQ的通讯也被拦截,所以可能还是你的防火墙规则过于严厉,放宽规则看看。

[ 本帖最后由 artico 于 2006-9-25 09:36 编辑 ]
回复

使用道具 举报

KelvinFu
发表于 2006-9-25 09:47:59 | 显示全部楼层
看了LZ发的工程文件和防火墙的抓图!

个人觉得:

1.  看你的抓图中在结合工程文件,你使用了欣向的ARP保护软件!由于你使用了欣向ARP软件软件的同时又在抓包,所你发的工程文件中出现了很多ARP扫描和太多无请求应答的诊断信息!因为在使用该软件时,首先会要求你扫描网卡所在网段!这时你又在抓包。所以数据包中出现了很多ARP扫描和应答的内容。

2. 似乎图中的外网地址在对你的内部主机4600端口进行扫描,你注意看端口和地址,似乎很有规律!是不是内部主机中毒了,外网在请求服务呢!可以检查下!

3. 至于伪造地址的攻击,检查比较困难,要查单向流!

[ 本帖最后由 KelvinFu 于 2006-9-25 09:59 编辑 ]
回复

使用道具 举报

artico
发表于 2006-9-25 09:54:58 | 显示全部楼层
原帖由 KelvinFu 于 2006-9-25 09:47 发表
看了LZ发的工程文件和防火墙的抓图!

个人觉得:

1.  看你的抓图中在结合工程文件,你使用了的ARP保护软件!由于你使用了欣向ARP软件软件的同时又在抓包,所你发的工程文件中出现了很多ARP扫描和太多无 ...

  

同意KelvinFu的第一点,我也觉得是用了欣向的软件。。。。
回复

使用道具 举报

daoker
 楼主| 发表于 2006-9-25 12:40:15 | 显示全部楼层
KelvinFu (草纸)好厉害,真羡慕!

我想学一下网络,有相关的网站或者书籍,能推荐一下吗?

网关mac地址总被改成00-c0-02-ed-91-cc  然后就上不了网了,过一会儿又变成00-0e-e8-0c-0b-e6,就又可以上了。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

hz123
发表于 2007-5-3 17:37:18 | 显示全部楼层
看样子是中毒了啊
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表