局域网有ARP元凶，但是就是查不出来 -_-!

inanition

路由器的地址是192.168.0.254

我能看的出 00:30:18:AC:79:E2 就是元凶```但是我找不到是哪台机器？？？




最近老掉线。。。郁闷啊

怎样才能找出00:30:18:AC:79:E2这个地址对应的IP地址呢？？
或者是那个地址借用00:30:18:AC:79:E2这个MAC地址，向局域网里的其他机器发送ARP欺骗包？？

[ 本帖最后由 inanition 于 2006-11-11 13:52 编辑 ]

lingyungong79

是不是就是你路由的哦？画出你的网络拓扑图出来！

lingyungong79

还有你的网络流量本来就大，不象是ARP哦~
经过偶神经般的分析你哪儿没什么问题。

lingyungong79

中病毒或木马吧？

hn_lijin

你的抓包的时间有点长，以前的数据包被丢弃了哦，有的5分钟差不多了吧
00:15:58:6D:F1:FA
这个网卡下绑定了三个IP？？？
其中有个是0.0.0.0的有什么用？？

hn_lijin

楼主，你的网关开启了DHCP服务么？

hn_lijin

192.168.0.254 在 00:30:18:AC:79:E2

你的网关MAC地址是这个不咯？

artico

00:30:18:AC:79:E2是网关，对应IP为192.168.0.44
请检查192.168.0.254，有ARP欺骗行为：有规律发送两个ARP响应给被欺骗IP。

inanition

先谢谢LS几位大哥
是这样的
我网吧路由器地址是192.168.0.254         00-d0-f8-88-0a-61
00:30:18:AC:79:E2这个地址是假的

这个抓包是抓的有点早,因为我是这样想的
在掉线之前,肯定有某机器首先发送ARP包给路由器,取得路由器的MAC地址
然后又给其他机器发送假的路由器MAC地址!

我的意图是这样的!
所以在掉线之前一直是把科来开起的
那个假的MAC已经找出来了
可是我不能找到是哪台机器在发送假的ARP包

inanition

网络结构大致结果如下

                                                       镜象口装的是 科来网络分析系统
                                                         /
光钎---------------路由器-------交换机(支持端口景象)
                                                         \
                                                   一个主交换机(被镜象口)
                                                            \
                                                      交换机---机器

inanition

再顶一下!!!!!!

qybgood

根据MAC地址找IP地址啊
应该可以找到某台机子吧！！

zmc837

有些arp欺骗采用了虚假的mac地址，这个比较难办了，定义acl规则过滤

artico

原帖由 artico 于 2006-11-11 17:49 发表
00:30:18:AC:79:E2是网关，对应IP为192.168.0.44
请检查192.168.0.254，有ARP欺骗行为：有规律发送两个ARP响应给被欺骗IP。

既然44有发送过00:30:18:AC:79:E2，还请检查一下该PC。

dtzqxx

你的问题计算机应该就是0.44你应该到0.44这台计算机查看一下这台计算机的真实MAC不就什么也知道了吗

wqwang

同意LS的意见,查一查0.44和0.254。
另外问一下0.44和0.249有什么关系?

hz123

用科来查ARP很方便的