IP头校验错误太多

风火驿站

在诊断视图里IP头校验错误太多，而且源和目标都相同，尤其是68.68.68.68（源），目标68.68.85.85（目标），还有IP生存周期太短、TCP被复位、端口不可达等，问题严重否，怎样解决？还望楼主代为分析，谢谢！

oldjiang

00:E0:FC:39:09:9E  (Huawei Tach) 的IP跟楼主的子网不同，他发的那些包，IP标志、分段标志、TTL、额外数据等都是一样的，尤其是分段标志，连保留位都置1，后两位又相互矛盾，明显是伪造的。找到这个机器，断网再观察。

飞雪

问题比较复杂，而且还有APR欺骗

oldjiang

3#从何处看出有APR欺骗？

风火驿站

看了版主的分析，我昨天下午照做了，但感到郁闷的是，哪个00E0FC39099E(IP为68.68.68.68)的机子在本网段中没有找到，即使把所有端口都拔掉，这个IP还出现，另外就是感到困惑的是，有的PC机明明已经断开了，但是在科来分析软件中本地网段中还显示，并且刷新之后还存在，不知道是怎么回事，期盼版主回复，其实我很菜的，还望不要见笑！！

oldjiang

1、"00E0FC39099E(IP为68.68.68.68)的机子在本网段中没有找到"，这个MAC可能是伪造的，下次再抓到这个地址，登录交换机看MAC地址表，根据端口找机器
2、“有的PC机明明已经断开了，但是在科来分析软件中本地网段中还显示”，也许有来自外网的包找它，或者网关、其他机器找它。
3、大家都是从头学起，无所谓菜不菜。