网络不稳定，求各位大侠支招

daoker · 发表于 2006-9-22 22:20:04

最近网络很不稳定，“网络连接“里的”internet网关"总是消失。有时候停用网络连接，然后再启用，又可以上，但过一会儿又不行了。
然后我用anti arp sniffer这个软件保护网关的mac地址，总是提示“mac地址为 00-c0-02-ed-91-cc 的计算机正在发送ARP欺骗数据包，攻击者MAC地址已经记录，伪造的ARP数据已清除！"，我停用自动保护，然后追捕攻击者，但是也找不到相应的IP地址。
我找遍了mac地址，就是找不到这个，这是什么原因呢？
是局域网内有病毒吗？
那应该怎么杀毒呢？
会不会是我自己的电脑有病毒呢？（我重装了两次系统也是这样）

garnett_wu · 发表于 2006-9-22 23:15:50

http://www.csna.cn/forum.php?mod ... &extra=page%3D1

http://www.csna.cn/forum.php?mod ... &extra=page%3D1

[ 本帖最后由 garnett_wu 于 2006-9-22 23:17 编辑 ]

zmc837 · 发表于 2006-9-23 08:29:50

ip地址是伪造的，楼主要追查的应该是根据mac地址去追查，如果mac地址也是伪造的话可以过滤该mac地址的数据包。

artico · 发表于 2006-9-23 09:11:34

原帖由 zmc837 于 2006-9-23 08:29 发表
ip地址是伪造的，楼主要追查的应该是根据mac地址去追查，如果mac地址也是伪造的话可以过滤该mac地址的数据包。

智能＝傻瓜式交换机下出现这样的问题拿什么来过滤呢？头疼了吧。。。

北风物语 · 发表于 2006-9-23 10:32:20

用比较物理的办法来解决,一个个查.

wlxinsheng · 发表于 2006-9-23 13:10:16

你先把那台有问题的机器给断开隔离一下试试看...

KelvinFu · 发表于 2006-9-24 16:13:59

用科来网络分析系统技术交流版抓包分析，找出问题主机，再来想办法！
LZ可以把数据报文件传上，大家研究

dinglinqi · 发表于 2006-9-24 16:17:26

大陆就没有人能回答上面遇到的问题了吗?

zmc837 · 发表于 2006-9-24 21:27:18

原帖由 dinglinqi 于 2006-9-24 16:17 发表
大陆就没有人能回答上面遇到的问题了吗?

楼主没有提供抓的数据包给我们，我们也很难判断，遇到问题不要着急，建议楼主正确布置抓包主机位置，用科来软件抓包，上传给我们兄弟们探讨。在科来的节点浏览中，如果一个ip有多个mac地址的话，往往就能很快定位问题主机。

daoker · 发表于 2006-9-25 01:32:49

很感谢大家的帮助！
科来这个软件我不太会用，我发个包上来吧，你们帮我看看，我始终怀疑192.168.10.251这台电脑有问题（我是从防火墙上看到的，总是看到这个地址的信息）。

daoker · 发表于 2006-9-25 01:46:55

发两张防火墙上的截图（一个是192.168.10.251的，还有一个是192.168.10.222的），这是什么意思？

daoker · 发表于 2006-9-25 01:49:25

拦截的是什么呢？

artico · 发表于 2006-9-25 09:02:19

原帖由 daoker 于 2006-9-25 01:32 发表
很感谢大家的帮助！
科来这个软件我不太会用，我发个包上来吧，你们帮我看看，我始终怀疑192.168.10.251这台电脑有问题（我是从防火墙上看到的，总是看到这个地址的信息）。

192.168.10.251从数据包里面没看出有问题，倒是192.168.10.183一直在扫描，得去检查一下看看是什么。

artico · 发表于 2006-9-25 09:07:05

原帖由 daoker 于 2006-9-25 01:46 发表
发两张防火墙上的截图（一个是192.168.10.251的，还有一个是192.168.10.222的），这是什么意思？

从两图上看，有基于对本机端口4600范围的类似扫描被拦截；但是你的QQ的通讯也被拦截，所以可能还是你的防火墙规则过于严厉，放宽规则看看。

[ 本帖最后由 artico 于 2006-9-25 09:36 编辑 ]

KelvinFu · 发表于 2006-9-25 09:47:59

看了LZ发的工程文件和防火墙的抓图！

个人觉得：

1. 看你的抓图中在结合工程文件，你使用了欣向的ARP保护软件！由于你使用了欣向ARP软件软件的同时又在抓包，所你发的工程文件中出现了很多ARP扫描和太多无请求应答的诊断信息！因为在使用该软件时，首先会要求你扫描网卡所在网段！这时你又在抓包。所以数据包中出现了很多ARP扫描和应答的内容。

2. 似乎图中的外网地址在对你的内部主机4600端口进行扫描，你注意看端口和地址，似乎很有规律！是不是内部主机中毒了，外网在请求服务呢！可以检查下！

3. 至于伪造地址的攻击，检查比较困难，要查单向流！

[ 本帖最后由 KelvinFu 于 2006-9-25 09:59 编辑 ]

artico · 发表于 2006-9-25 09:54:58

原帖由 KelvinFu 于 2006-9-25 09:47 发表
看了LZ发的工程文件和防火墙的抓图！

个人觉得：

1. 看你的抓图中在结合工程文件，你使用了的ARP保护软件！由于你使用了欣向ARP软件软件的同时又在抓包，所你发的工程文件中出现了很多ARP扫描和太多无 ...

同意KelvinFu的第一点，我也觉得是用了欣向的软件。。。。

daoker · 发表于 2006-9-25 12:40:15

KelvinFu (草纸)好厉害，真羡慕！

我想学一下网络，有相关的网站或者书籍，能推荐一下吗？

网关mac地址总被改成00-c0-02-ed-91-cc 然后就上不了网了，过一会儿又变成00-0e-e8-0c-0b-e6，就又可以上了。

hz123 · 发表于 2007-5-3 17:37:18

看样子是中毒了啊

网络不稳定，求各位大侠支招

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源