借助Sniffer查找网络中感染冲击波病毒的机器

cwym29 · 发表于 2006-6-13 13:55:28

在net130上看到的，觉得很有学习价值，就转过来了。

菜鸟人飞 · 发表于 2006-6-13 15:01:43

借助Sniffer查找网络中感染冲击波病毒的机器

作者：goldeyes 　发表于Cisco网络技术论坛

故障现象：用户最近两天掉线比较严重，掉线后用户等待3到4分钟后再次拨号成功。检测运营商DSLAM设备的上行端口的数据流量很大，延时比较长。
推测原因：网络中存在感染病毒的机器。
处理步骤：启动SNIFFER抓包，发现大量的广播包。

进一步分析，发现这些广播包大多数属于ARP广播包。

这些ARP包的SIZE都在65－127之间

将SNIFFER截获的数据包解码，发现数量相当大(占截获数据包的百分之70以上)的ARP包，这些包是从同一个MAC地址发出来，并且该MAC地址用户正在逐个扫描一个网段内的IP主机。

查看FDB表项，在查找到的MAC地址表项中均发现了00E04C848BCA的MAC地址，所以可以确定该地址属于DSLAM设备的下联用户。
在DSLAM上二层转发所获取的MAC地址中，查找00E04C848BCA用户MAC。
查找到该MAC地址用户的端口号
通知运营商
关闭该端口
用同样方法查处多个故障用户后，关闭这些端口，再运行SNIFFER观察网络状况

结束
用户掉线解决，网络运转正常。

结束后的话
由于对SNIFFER运用的不是很深入，所以肯定还是有很多问题没有查出来，如果哪位是SNIFFER的高手的话，或者对SNIFFER的专家诊断功能比较熟悉和有相关资料的DD，希望与我联系。大家一起交流交流。

grayfoxren · 发表于 2006-6-13 20:46:22

太感动了，学习研究看看

独倚斜阳 · 发表于 2006-6-14 14:10:21

学习ING.......

zhuangkunliang · 发表于 2006-6-15 00:47:51

很高兴看到这个...现在正在学习sniffer........值得顶............谢谢了

lcjoe · 发表于 2006-6-22 15:08:55

你的贴子太好了，多多益善，----`0`----顶！

wwwang · 发表于 2006-6-24 17:08:04

学习中,楼主好样的!

xiaofei4332 · 发表于 2006-6-27 12:44:10

这里的高手好多
厉害厉害

xiaofei4332 · 发表于 2006-6-27 12:48:59

谢谢了，我第一次来
就看到这样好的东西
激动中。。。

xzh_hashei · 发表于 2006-7-11 18:17:59

感谢LZ先,下来看看

xzh_hashei · 发表于 2006-7-11 18:19:43

感谢LZ先,下来看看

mycold · 发表于 2006-7-31 18:43:02

好东西一定要顶了。。。。

zmc837 · 发表于 2006-7-31 19:53:40

办法简单可行，不错,这断时间以来，很多都是于arp有关

hongyun9527 · 发表于 2006-8-4 08:45:06

好东西啊，谢谢了

zszhw · 发表于 2006-8-6 13:59:47

你的贴子太好了，多多益善，----`0`----顶！

enter775 · 发表于 2008-3-31 18:31:30

实例最喜欢了要多多贴这种帖子

z312358512 · 发表于 2008-3-31 22:07:31

看上去很不错。。。。。。

jcj413 · 发表于 2008-4-7 16:13:07

很好啊你就是DD啊

bingyu1018 · 发表于 2008-4-10 14:45:56

很好很强大

借助Sniffer查找网络中感染冲击波病毒的机器

本帖子中包含更多资源

评分

非常不错，我来帮你帖出来吧。

本帖子中包含更多资源