求助：科来只能捕获广播和组播了

xuefu · 发表于 2007-6-23 20:21:24

现在，我的科来系统上能够捕获到的只有本机的TCP/UDP和广播、组播数据包了，就是关闭了防火墙了也是这样，不知道是什么回事，请大师们给予帮助。

xuefu · 发表于 2007-6-23 22:54:57

安装其它的捕获软件也一件,是什么原因呀?

zealotcc · 发表于 2007-6-24 09:11:05

参考科来部署的知识，还有菜青虫版主的一篇网络分析基础知识帖

xuefu · 发表于 2007-6-24 20:52:23

我校是共享式网络，路由在联通机房，通过联通分的VPN入网，科来安装在笔记本电脑上，学校用的全部是普通交换机，原来在任何交换机接入科来分析系统都能得到全局的数据包，可是现在不行了，就是用snifferPro在混杂模式下也一样，真是百思不得其解。

zealotcc · 发表于 2007-6-24 22:36:21

以前抓的时候有无基于ARP欺骗原理的软件？确定是全网络的包？

支持xuefu研究到底，弄个明白

xuefu · 发表于 2007-6-25 00:34:57

记得好象得测试过"中间人"欺骗软件,NetFuke，但没有成功，运行该软件后用科来也得没有到欺骗的数据包，NetFuke本身带的包捕获窗口也没有得到数据流。好象是从这时开始数据包捕获软件就不能得到除本机外其它主机访问外网的数据包了。后来我本地机由于捕获不了数据，难以对网络进行分析而重新装了系统，但现在依旧捕获不了其它主机与外网的通信数据包，更怪的是，在其它主机上安装snifferPro后，用SnifferPro也只能捕获到本机和全网的广播、组播包，不能得到内网其它主机也外网间的数据包，所以只好到这里求助了。

[ 本帖最后由 xuefu 于 2007-6-25 01:21 编辑 ]

zealotcc · 发表于 2007-6-25 08:58:45

应该说正常情况下不作其他配置交换机下直接抓包,抓到就是本机相关流量和广播包
如果原来可以任意地方抓,那么是不是每个交换机都确定可以?还是在特定的一台?

xuefu · 发表于 2007-6-25 10:52:13

在6月18日以前能抓到全网所有数据包，就是这段时间来抓不到了。

xuefu · 发表于 2007-6-25 23:23:44

现在用Essential NetTools对全网进行端口扫描，发现所有的主机的TCP 21端口都是打开的，
更让人惊奇的是，即使这台主机是关闭的！！
IP Address Open Ports No. of Closed Ports No. of Silent Ports
10.115.7.10 ftp N/A N/A
10.115.7.11 ftp N/A N/A
10.115.7.12 ftp;netbios-ssn N/A N/A
10.115.7.13 ftp;netbios-ssn;microsoft-ds N/A N/A
10.115.7.14 ftp N/A N/A
10.115.7.15 ftp N/A N/A
10.115.7.16 ftp N/A N/A
10.115.7.17 ftp N/A N/A
10.115.7.18 ftp N/A N/A
10.115.7.19 ftp N/A N/A
10.115.7.20 ftp N/A N/A
10.115.7.21 ftp N/A N/A
10.115.7.22 ftp N/A N/A
显然本网有问题，这种现象在“熊猫烧香”暴发时曾经出现过

主机关闭着也会打开端口？
用FTP命令不能打开，但用“中华经典网络军刀”和telnet命令证实这个IP确实开着TCP21端口：
[2007-06-25 22:59:29.953] 10.115.7.4:1871 成功连接到 10.115.7.10:21
说明一下：这台10.115.7.10是关机了的。
这时请注意，科来能捕获到本机用FTP发的请求包。头都大了，想想后再继续研究。

只是一个神话 · 发表于 2007-6-26 00:12:37

确实很奇怪，感觉像是一种新型的病毒程序

如果能成功连接到10，那说明10肯定是开着的或者说是肯定存在于这个网络中（除非你的扫描软件忽悠你）。当然，这个10也肯定不是关机的那个10，关了机都能连上，一、网络中还有人在使用10这个IP地址，二、见鬼了。

换个思路，如果在其它机器上抓包呢？

期待LZ的新信息。

xuefu · 发表于 2007-6-26 03:33:39

我用其它扫描器也一样,下面是当前在线IP与扫描的对比

[ 本帖最后由 xuefu 于 2007-6-26 03:35 编辑 ]

xuefu · 发表于 2007-6-26 03:38:33

21端口扫描图,这些主机根本不在线上!

[ 本帖最后由 xuefu 于 2007-6-26 03:39 编辑 ]

xuefu · 发表于 2007-6-26 08:58:23

但在科来的捕获中，发现网关有对10.115.7.80和10.115.7.213的大家的ARP查询，分析这两个IP受到外网的攻击，由于我现在的科来只能捕获本机的TCP/UDP数据包，在确认这两台主机没有开机在线的情况下（我单位使用静态IP），决定修改本机IP为上面两地址进行捕获，包文件附上，但得到的攻击包是什么意思我不知道，请各位大师帮助分析一下。

[ 本帖最后由 xuefu 于 2007-6-26 09:00 编辑 ]

xuefu · 发表于 2007-6-26 09:01:29

对10。115。7。213的攻击包

langjue · 发表于 2007-6-26 09:26:57

我看过你的包了~发现其中的包是科来不能识别的应用层协议`~而且源地址比较少~而且你们的网关是CISCO的~如果仅仅是外网几个固定地址狂发包给你的话,可不可以先写几条ACL把源地址堵住

xuefu · 发表于 2007-6-26 10:56:32

用的是联通小区宽带，10M光纤接到学校，路由在联通中心机房，只有联系他们的网络管理员看看了。

sivalei · 发表于 2007-6-27 09:21:59

来回也就是那么几个 udp包，并且不是很频繁，1秒2个的样子，而且只有收没有发。

影响应该还比较的小，但问题始终有。。。。再求助吧～

只是一个神话 · 发表于 2007-6-27 10:05:25

我的意思是，LZ是否可以在别人的机器上捕获数据包试试？

xuefu · 发表于 2007-6-28 06:36:29

试过了，我在学校的不同普通交换机下捕获数据包也不能得到非本地机的TCP数据包。

只是一个神话 · 发表于 2007-6-28 10:02:27

这个。。。能力有限，帮不上忙了，帮你顶下，让大伙一起来找原因。

求助：科来只能捕获广播和组播了

回复 #4 xuefu 的帖子