网络里出现大量不存在的地址，是何原因？

linuxggj · 发表于 2007-6-7 11:47:26

单位网络分为7个vlan，Vlan1、2、3、4、6、7、8，通过宽带路由器上internet。vlan号和所在ip段对应（如vlan1=192.168.1.0）。在用科来采集网络流量时，发现本地ip段出现大量不存在的ip地址（192.168.5.1~192.168.5.254注意没有vlan5）。这些不存在的地址都和一个打印服务器有一个tcp连接。（打印服务器上有病毒？）请朋友们帮助分析下，是何原因呢？

zealotcc · 发表于 2007-6-7 12:27:26

传包上来,很复杂的说,打印服务器是哪个段的,信息再给足点

[ 本帖最后由 zealotcc 于 2007-6-7 12:31 编辑 ]

linuxggj · 发表于 2007-6-7 14:18:36

谢谢这位朋友。打印服务器在vlan4。
由于原始数据包没存，被覆盖了。没做任何处理的情况下再次采集时，已经恢复正常。
平时也出现过不存在的ip地址的情况，但没有这次这么多。所以还是不明原因。

菜鸟人飞 · 发表于 2007-6-8 09:12:16

科来的安装位置？
各VLAN间能否访问？
这些不存的地址与打印服务器的连接发起者是谁？
这些连接是否成功建立？每个连接的数据包有多少？是否有数据传输？

linuxggj · 发表于 2007-6-8 11:11:20

科来部署在宽带路由器的镜像端口上。下边连三层交换机，三层交换作端口VLAN，下联分布层交换机到桌面。暂时没做vlan间路由。
打印服务器发起的连接，没有成功建立连接，也不会有数据传输。是打印服务器发起的TCP SYN扫描吗？只是他尝试连接的不存在的ip地址为何都是192.168.5.1~192.168.5.254的ip段。
打印服务器全盘杀毒，未发现病毒。

wfj0001 · 发表于 2007-6-8 13:26:32

查查打印服务器，可能有木马了，服务器可能给人当成跳板，在扫描，不是攻击，是攻击前的扫描，如果数量太多就可能是攻击了。

zealotcc · 发表于 2007-6-8 21:49:23

　其实说到现在包都没看到,说分析也只能说是猜,lz说对不

sunyy28 · 发表于 2007-6-27 10:32:00

这个我有经验，我就碰上过。
当时的情况是这样的，我在网络中也发现了一个不应该存在的ip地址直接连到了网络打印机上，通过抓包发现了发起连接的某台计算机以及相应的端口号，然后在这台计算机上查到是对应这个端口号的打印程序，检查本机无问题。
后来想起这台机器原来用过这个不存在的IP，而且还安装过网络打印，随后找打印机设置发现里面以前建立过的网络打印端口，直接把多余的网络打印端口删除，OK.
从此这个幽灵地址就再也不出现了。

sunyy28 · 发表于 2007-6-27 10:37:50

估计楼主碰上的问题和我是一样的。
之前，我们网络配置还没建好，领导们就急着要用，没办法就采取了临时解决的方案，把机器都临时配个地址，再直接连网络打印机。后来地址都规划好了，网络也配置好了，但是打印机端口却没删除，所以就出现了幽灵地址。

yuanye002 · 发表于 2007-7-6 12:36:31

LZ的内网应该是用的DHCP吧
所以会出现8楼的朋友说的那种情况
我们也遇到过类似的问题.

网络里出现大量不存在的地址，是何原因？

回复 #5 linuxggj 的帖子