当遇到DNS欺骗时，应该如何快速查找病毒主机

yangjiawei · 发表于 2013-3-22 12:40:03

这个问题我想了很久，究竟应该如何快速追踪到DNS欺骗的主机呢？哪位大神能够来讲两句，关键在于MAC地址是伪造的，无法追踪

xxx314 · 发表于 2013-3-22 13:16:53

1# yangjiawei

通过抓取数据包，分析数据会话就比较好分析，举个例子吧：

查询arp请求

请求回应：

这里已经开始欺骗了。。。。。

dns请求如下图。。。。。

dns应答。。。。。注意mac

通过这个图也比较明显。。。。

说得比较简单。。。。。。
建议lz做点小实验，抓包分析分析，就比较清楚了。。。。。

a2604882741z · 发表于 2013-3-25 11:08:56

不明白什么意思，为什么192.168.146.129 和 192.168.146.2 MAC 地址都是一样的，
另外第三张图和第四张图里面只有 192.168.146.146 发给 146.2的包，没有返回数据。

xxx314 · 发表于 2013-3-25 11:18:03

3# a2604882741z
建议楼上去看看arp欺骗。。。。
mac---ip缓存欺骗的这些哈，你就会明白滴

当遇到DNS欺骗时，应该如何快速查找病毒主机

本帖子中包含更多资源