CSNA网络分析论坛»首页 流量分析 网络分析 大家来看看 这样的网络正常吗??
返回列表 发帖
查看: 11824|回复: 6

大家来看看 这样的网络正常吗??

[复制链接]
soso16888
发表于 2006-9-25 02:31:43 | 显示全部楼层 |阅读模式
大家看看

例1:
编号             相对时间                     源                                         目标                         协议           大小          解码          概要                                          
52846          01:30:56.598992          Dept Of Foreign Affairs:39:5B:87          FF:FF:FF:FF:FF:FF          ARP          64                      谁是 192.168.0.170? 告诉 192.168.0.250         
52847          01:30:56.599081          Dept Of Foreign Affairs:39:5B:87          FF:FF:FF:FF:FF:FF          ARP          64                      谁是 192.168.0.171? 告诉 192.168.0.250         
52848          01:30:56.599444          Dept Of Foreign Affairs:39:5B:87          FF:FF:FF:FF:FF:FF          ARP          64                      谁是 192.168.0.172? 告诉 192.168.0.250         
52849          01:30:56.599529          Dept Of Foreign Affairs:39:5B:87          FF:FF:FF:FF:FF:FF          ARP          64                      谁是 192.168.0.173? 告诉 192.168.0.250         
52850          01:30:56.599799          Dept Of Foreign Affairs:39:5B:87          FF:FF:FF:FF:FF:FF          ARP          64                      谁是 192.168.0.174? 告诉 192.168.0.250         
52851          01:30:56.599872          Dept Of Foreign Affairs:39:5B:87          FF:FF:FF:FF:FF:FF          ARP          64                      谁是 192.168.0.175? 告诉 192.168.0.250         
52852          01:30:56.599936          Dept Of Foreign Affairs:39:5B:87          FF:FF:FF:FF:FF:FF          ARP          64                      谁是 192.168.0.176? 告诉 192.168.0.250         
52853          01:30:56.600002          Dept Of Foreign Affairs:39:5B:87          FF:FF:FF:FF:FF:FF          ARP          64                      谁是 192.168.0.177? 告诉 192.168.0.250         
52854          01:30:56.600189          Dept Of Foreign Affairs:39:5B:87          FF:FF:FF:FF:FF:FF          ARP          64                      谁是 192.168.0.178? 告诉 192.168.0.250


例2:
严重程度          协议层                     事件                                    源                          源端口          目标          目标端口          数据包            
警告            DataLink Layer          ARP请求风暴(主机IP地址192.168.0.250)          00:C0:4C:39:5B:87                       NA                        53156         
警告            DataLink Layer          ARP地址扫描(主机IP地址192.168.0.250)          00:C0:4C:39:5B:87                       NA                        53156



例3:
数据包信息:
    数据包编号:                              058117
    数据包长度:                              64
    捕获长度:                               60
    时间戳:                                2006-09-25 02:26:57.279302
以太网 - II                                [0/14]
    目标地址:                               FF:FF:FF:FF:FF:FF  [0/6]
    源地址:                                00:0F:68:90:00:28  [6/6]
    协议类型:                               0x0806  (ARP)  [12/2]
ARP - 地址解析协议                            [14/28]
    硬件类型:                               1  (以太网)  [14/2]
    协议类型:                               0x0800  [16/2]
    硬件地址长度:                             6  [18/1]
    协议地址长度:                             4  [19/1]
    操作类型:                               1  (ARP 请求)  [20/2]
    源物理地址:                              00:0F:68:90:00:28  [22/6]
    源IP地址:                              192.168.0.254  [28/4]
    目标物理地址:                             00:00:00:00:00:00  (Xerox)  [32/6]
    目标IP地址:                             192.168.0.205  [38/4]
额外数据:                                   [42/18]
    字节数:                                18 bytes  [42/18]
FCS - 帧校验序列:
    FCS:                                0x8C972CC5  (计算出的)


帮忙解决一下  到底是什么问题~!先谢谢大家啦`!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

rfc126
发表于 2006-9-25 09:30:38 | 显示全部楼层

答复

你的网络存在ARP 风暴, 你把  00:0F:68:90:00:28                      断掉
回复

使用道具 举报

artico
发表于 2006-9-25 09:51:43 | 显示全部楼层
最大的可疑是00:C0:4C:39:5B:87:伪造IP对本网段进行扫描,重点检查一下。
回复

使用道具 举报

KelvinFu
发表于 2006-9-25 09:57:53 | 显示全部楼层
LZ的网络到底出现什么状况!请描述下!

还有是否在使用什么扫描软件!
回复

使用道具 举报

soso16888
 楼主| 发表于 2006-9-27 03:40:23 | 显示全部楼层
我这里是网吧来的
原帖由 rfc126 于 2006-9-25 09:30 发表
你的网络存在ARP 风暴, 你把  00:0F:68:90:00:28                      断掉

这个00:0F:68:90:00:28 是内网的网关 19.168.0.254的 物理地址
这个00:C0:4C:39:5B:87是 网吧用的 网安之星的物理地址   广州的网吧都用的吧
两个都不能断掉   怎么办才好呢?
能上网  就是上着上着    经常会出现   掉包现象   一掉就是5个包一上   顾客老叫
怎么有掉网了~~!!!哎~~~~郁闷啊~~~~~
回复

使用道具 举报

soso16888
 楼主| 发表于 2006-9-27 03:47:25 | 显示全部楼层
原帖由 KelvinFu 于 2006-9-25 09:57 发表
LZ的网络到底出现什么状况!请描述下!

还有是否在使用什么扫描软件!

我在服务器上面开了这个 ANTI ARP SNIFFER  防ARP欺骗的工具  应该没问题的~!!
一般3到4个小时出现一次  奇怪的是  它不是一起掉的   大部分是按 IP 循序掉的  
例如 45号掉了  接着 46号 47号........  这种情况是不是有人在内网攻击什么的?
大哥们帮帮忙撒~!
回复

使用道具 举报

kmerabbit
发表于 2006-10-3 11:58:48 | 显示全部楼层
大哥呀192.168.0.250(00:C0:4C:39:5B:87)就是呢的网管机种ARP木马了.你还说正常
如果是这个192.168.0.254(00:0F:68:90:00:28) 在发起APR对话请求才算正常哦
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表