网吧掉线一个多月了，一直找不到原因，请高手帮忙（已上传全部工程文件流量包)

59047518 · 发表于 2006-10-3 03:04:22

今天我用科来网络分析系统分析了一下！看的不太懂，希望高手帮忙诊断一下！谢谢先！
我原先也怀疑是ARP的欺骗造成的掉线，但是我一直开着ARP欺骗防御工具，没见里面提示有arp 欺骗的数据，但是掉线掉的频繁！有的时候一掉能掉一天！有的时候却十分正常，一天都不掉，一到晚上就掉！
需要说明一下，在这个包里提示的 ARP太多无请求应答后面的mac（00-3c-01-50-50-2c)地址是我的路由器的网关地址，也是内网网关，我现在就是找不到是那台机器造成的网关一直欺骗,还有个内网没有的IP地址 192.168.0.255 我检查的像是这台机器造成的欺骗，不知道是不是

[ 本帖最后由 59047518 于 2006-10-4 05:10 编辑 ]

yangloveme · 发表于 2006-10-3 12:24:46

晕 255不是广播地址吗

59047518 · 发表于 2006-10-3 18:07:17

所以我查不出来。所以才请教高手

interim · 发表于 2006-10-8 02:01:55

数据量也太大了吧？
懒得看了

菜鸟人飞 · 发表于 2006-10-8 15:05:50

192.168.0.28（是你本机吧）在干什么，发起了那么多的连接？

网络中ARP欺骗攻击的可能性极大，原因可能是以下两种：
1.网关已被攻击，攻击者利用网关对内网进行攻击
2.内网某主机将自己的MAC改为和网关的一样，且进行攻击

上述为个人理解。

红盟过客 · 发表于 2006-10-9 20:57:34

192.168.0.1 是不是你的路由啊,网络中ARP欺骗攻击

红盟过客 · 发表于 2006-10-9 21:01:34

192.168.0.28当时是不是在看bt电影啊,什么的,如果不是的了,那就是这台电脑有问题了,你最好能不断的抓啊,这样就能马上就看出那一台有问题了.

caidaowang · 发表于 2006-10-10 09:19:25

你把外网的线拔掉（路由到集线器的网线），这样分析的话，流量最大的那个就很可疑了。

幽魂倦客 · 发表于 2006-10-10 11:15:44

弄一台机器把网游目录的毒杀净(建议卡巴最新版)
然后同步所有机器下的网游目录

前段时间我也是这样,后来杀毒了一次, 发现网游下好多木马,
同步后网络正常

hz123 · 发表于 2007-5-4 15:52:31

建议你先把路由器断开用分析软件捕包然后在连上就能抓到发包的人了

zealotcc · 发表于 2007-5-4 16:29:23

看一下日志中的DNS查询,28的机子在问内网的机子的域名,28在共享某些东西?

网吧掉线一个多月了，一直找不到原因，请高手帮忙（已上传全部工程文件流量包)

本帖子中包含更多资源

排除