求救，我的网关怎么变成了99个网关，不知道怎么找出中毒机器，无从下手

pi4pi · 发表于 2007-8-6 02:53:11

求救，我们的网关怎么变成了99个网关，不知道怎么找出中毒机器，好象每台机都中毒了，无从下手，请教各位该如何处理。我们的网关是：192.168.0.2，网卡地址：00-0F-E2-42-DD-8D，我们网吧有320台机，我们网络拓扑结构：路由--中心交换机--各交换机---客户机。
用科来看到的我们我们网关网卡地址（00-0F-E2-42-DD-8D）下有99台外网IP的机子变成了我们的网关，如图：

用科来抓包找到的其中一个外网IP（61.144.33.174）网关的数据包如图：

我是在客户机上装科来的，本机IP：192.168.2.33，下图是对本机（192.168.2.33）抓的包：

补充：谢谢大家的回复，对不起，昨天漏发了一张图，这张图是客户机192.168.3.67（00:11:5B:AF:8E:0B）的，如下：

[ 本帖最后由 pi4pi 于 2007-8-7 03:46 编辑 ]

zhaogangc · 发表于 2007-8-6 08:32:49

拜托，那99个地址不是网关

luotao251 · 发表于 2007-8-6 08:44:30

我看那网关下的地址都是正常的，请问楼主是如何判断机器中毒的呢？

菜鸟人飞 · 发表于 2007-8-6 09:42:22

是的，如楼主几位兄弟所言，除了你的真实网关外，其它98个都不是网关，只是和他们的通讯，都是经过网关转发的数据。

楼主可能对路由技术理解得不够深入？
要知道，三层设备转发数据包时，都会更改源MAC地址的，所以你看到的情况是正常的。

同时，需要注意，如果网络中存在ARP欺骗，那么也可能出现类似的这种情况，即一个MAC下面对应多个IP地址，所以，在出现MAC和IP不对应时，需要认真分析，以确定其是否正常。

zealotcc · 发表于 2007-8-6 10:03:28

科来关于ip对应mac的原理应该是直接将数据包的ip头的地址对应frame头的地址

外网来的包全源mac改成网关的了,但源ip没变,所以对应出来那么多

[ 本帖最后由 zealotcc 于 2007-8-6 10:04 编辑 ]

longyufei · 发表于 2007-8-6 10:12:52

应该好好学习啊！

秋水寒 · 发表于 2007-8-6 15:49:51

呵呵，具体问题要具体分析哦。。。

hudeg632 · 发表于 2007-8-6 22:14:08

没什么的，一切正常

pi4pi · 发表于 2007-8-7 03:54:45

谢谢大家回复，我昨天漏发了一张图，在原主题补上了，补充的内容在原主题后面，请见原主题

求救，我的网关怎么变成了99个网关，不知道怎么找出中毒机器，无从下手

评分

认真观察！

谢谢大家回复，我昨天漏发了一张图，在原主题补上了