CSNA网络分析论坛»首页 流量分析 网络分析 咱们这的人不太热心呀,还是对新人有点烦燥 ...
返回列表 发帖
查看: 12679|回复: 15

咱们这的人不太热心呀,还是对新人有点烦燥

[复制链接]
青蛙
发表于 2006-9-18 18:33:47 | 显示全部楼层 |阅读模式
这个没有IP的MAC是在用什么协议,高手来答,让新手学习

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

青蛙
 楼主| 发表于 2006-9-18 18:34:45 | 显示全部楼层
我的内网怎么会多出来这样一个IP。搞不懂了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

青蛙
 楼主| 发表于 2006-9-18 18:36:35 | 显示全部楼层
多了一个192.168.1.69难道下面的人用路由器克隆MAC地址多机上网,用我们的科来能没有查到用代理和路由器克隆MAC上网的呢

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

青蛙
 楼主| 发表于 2006-9-18 18:38:00 | 显示全部楼层
这两个IP是不是在谈恋爱。好象蛮新密的吗。。。是木马?学是什么。。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

青蛙
 楼主| 发表于 2006-9-18 18:38:52 | 显示全部楼层
最后附上我的包包,真诚的等待大佬们回答我的问题

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

大水牛
发表于 2006-9-18 22:59:31 | 显示全部楼层

回复 #1 青蛙 的帖子

如你附图中所示,就是Loopback协议,它是数据链路层的协议.

关于这个协议的用途请参考 http://www.csna.cn/forum.php?mod=viewthread&tid=79
回复

使用道具 举报

大水牛
发表于 2006-9-18 23:00:34 | 显示全部楼层

回复 #2 青蛙 的帖子

169.254.x.x是自动专用IP地址 (APIPA), 用于为单个子网自动配置 TCP/IP 地址。

当一台客户机启动的时候,如果 DHCP 服务器不可用或不能接通,则计算机使用 APIPA 来自动配置 TCP/IP。系统会在保留 IP 地址 169.254.0.1 到169.254.255.254之间指定一个地址,此地址用作临时 IP 地址配置,子网掩码设置为 255.255.0.0。

用于 APIPA 的 IP 地址范围 (169.254.0.1 到 169.254.255.254) 被国际互连网号码分配机构 (IANA)保留。此范围中的任何 IP 地址不能在 Internet 上使用。APIPA 同时也删除了没有连接到 Internet 中的单个网络小型办公室和家庭办公室网络的 IP 地址。

如果一台机器没有设定固定的IP地址而采用自动分配IP, 但DHCP自动分配IP地址又失败了就会出现有上述169.254.x.x这样IP的数据包.

[ 本帖最后由 大水牛 于 2006-9-19 09:56 编辑 ]
回复

使用道具 举报

大水牛
发表于 2006-9-18 23:26:31 | 显示全部楼层

回复 #3 青蛙 的帖子

不是克隆多机上网,你可以在此IP的UDP数据重组视图中看到相关内容,如下所示

rn:schemas-upnp-org:device:Interne ...

此IP: 192.168.1.69 在向组播保留地址 225.2.1.1发起UDP请求,请求的内容似乎是和支持UPnP的路由器相关.

用科来网络分析系统或其它分析软件要查出克隆的MAC地址需要借助如"分路器"的支持和交换机端口设置信息才行.
回复

使用道具 举报

大水牛
发表于 2006-9-18 23:47:47 | 显示全部楼层

回复 #4 青蛙 的帖子

这个10.3.6.154(分别从1523试到1529端口)一直在试图连接10.3.6.240的135端口.是不是木马还需要更多的信息才能确定,从流重组的内容来看,像是NtLmSsp(NT LM安全性支持提供者服务)的普通请求,此服务是由进程lsass.exe提供.

另外:如果你的交换机镜像端口设置是正确的话,那说明10.3.6.240这台机器未开机或不存在,否则就是只抓了半截流, 即只有一个方向的数据包, 你可以通过会话视图中看到来自10.3.6.240的数据包个数为0.

评分

1

查看全部评分

回复

使用道具 举报

青蛙
 楼主| 发表于 2006-9-19 09:35:35 | 显示全部楼层
谢谢水牛兄弟的帮助,感谢,十分感谢,坛子要是出几个象水牛兄的人,肯定会红火起来
回复

使用道具 举报

scott_yq
发表于 2006-9-19 20:11:04 | 显示全部楼层
水牛让人受益匪浅阿。。呵呵。。对了,那个169.254.*.*是不是系统保留的IP地址阿??  还有就是像你所说的它只会在DHCP开通并且自动分配失败才会出现,那这个时候主机可以上网么/?  如果能上,那IP又是多少呢/?
回复

使用道具 举报

大水牛
发表于 2006-9-19 21:42:07 | 显示全部楼层

回复 #11 scott_yq 的帖子

如前所述, 169.254.x.x 是自动专用IP地址 (APIPA), 你可以理解为是系统保留的IP地址,就像192.168.0.x一样. 既然是保留地址通常是不能在 Internet 上使用的,自然也就不能用于上网.

另外前面的意思并不是说"只会在DHCP开通并且自动分配失败才会出现",  而是只要使用DHCP自动分配IP地址且失败时就会出现169.254.x.x. 换句话说,假如你的网络里压根就没有DHCP服务器, 而网卡设定又采用了自动分配IP地址,当等待超时后系统自然就会随机指定一个169.254.x.x地址.
回复

使用道具 举报

iwanthome
发表于 2006-9-21 15:29:11 | 显示全部楼层
原帖由 大水牛 于 2006-9-18 22:59 发表
如你附图中所示,就是Loopback协议,它是数据链路层的协议.

关于这个协议的用途请参考 http://www.csna.cn/forum.php?mod=viewthread&tid=79


对这点不太赞同,2层的loopback协议和大水牛说参考的帖子内容可没有什么关系,
我对这个协议也不了解,我个人的看法是:
2层的loopback主要用于确认端口的状态,在CISCO中,你可以通过在物理端口下配置keepalive来控制是否发送loopback测试包。
我没有科来系统,能否请楼主看看你说的这个包的ethtype是多少?是0x9000吗?
回复

使用道具 举报

大水牛
发表于 2006-9-21 16:00:27 | 显示全部楼层
是0x9000 Loopback协议.
回复

使用道具 举报

iwanthome
发表于 2006-9-21 16:59:37 | 显示全部楼层
我感觉这个2层的loopback好像和各厂家的实现有关系,CISCO的LOOPBACK源/目的MAC都是相同的(本交换机的一个MAC),而楼主的包好像目的是一个广播包,搂住能否说说第一个图是什么设备发出来的?

一直想了解LOOPBACK的实现机制,没有找到什么文档。
回复

使用道具 举报

xuefu
发表于 2007-5-12 21:03:47 | 显示全部楼层
我的一个机房也出现这种情况,主机是同方E180带同方易教的,
严重程度    协议层   事件                源                 源端口      目标          目标端口   
      
注意          网络层  IP包生存周期太短       192.168.1.69          7701          225.2.1.1          7700         

包数据部分内容如下:
@out 10.115.7.161 1508 ts2.qq.com 8000  13871  8000

[ 本帖最后由 xuefu 于 2007-5-12 21:28 编辑 ]
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表