CSNA网络分析论坛»首页 流量分析 网络分析 高手帮我处的网络分析一下!(附:工程文件) ...
返回列表 发帖
查看: 12257|回复: 6

高手帮我处的网络分析一下!(附:工程文件)

[复制链接]
zggzjun
发表于 2006-9-23 00:38:41 | 显示全部楼层 |阅读模式
我是一个小楼里局域网的一个用户,我是菜鸟!!!,只会懂看抓的数据包里好像房东的网关在发很多a'r'p协议,其他数据都看不懂。那位高手能帮我处的网络把把脉,最好说的简单点!!!。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

miceone
发表于 2006-9-23 08:44:50 | 显示全部楼层
ARP欺骗.
找到地址00 00 00 00 00 00先隔离出来 然后杀毒.

[ 本帖最后由 miceone 于 2006-9-23 08:45 编辑 ]
回复

使用道具 举报

大水牛
发表于 2006-9-23 11:29:42 | 显示全部楼层
楼上说的不对,没有ARP欺骗,地址"00 00 00 00 00 00"是标准的ARP请求包预填充的目标物理地址,是正常的.请楼上的先去学一下ARP协议规范.

分析你的工程文件, 只有三个物理地址:

00:0F:3D:14:0F:1D   网关
52:54:AB:25:69:6E   你本机192.168.0.110
FF:FF:FF:FF:FF:FF    广播地址

网关192.168.0.1在不停的发ARP请求,询问"谁是 192.168.0.111? 告诉 192.168.0.1"
你的机器192.168.0.111也做了正常应答,"192.168.0.110 在 52:54:AB:25:69:6E"

不过网关是有些问题,它并没有理会你的ARP响应,依旧在不停的发请求包. ( 如果是ARP扫描的话,网关不应该只询问你的IP,应该是若干个连续的IP地址,比如0.111,0,112.....).具体的原因还需待查,目前看来没有什么破坏作用.

其它的数据嘛无非是你的机器在连本地电信的1203端口,从TCP数据流来看不是游戏就是在聊天.
回复

使用道具 举报

miceone
发表于 2006-9-23 12:59:12 | 显示全部楼层
地址"00 00 00 00 00 00"是标准的ARP请求包预填充的目标物理地址
请教下
请问这个是什么意思..本人刚学。..
回复

使用道具 举报

大水牛
发表于 2006-9-23 15:42:31 | 显示全部楼层
举个列子吧,比方说上面的"网关 192.168.0.1"这台机器想知道192.168.0.111的物理地址是多少,它会怎么做呢?

它需要先发起一个以太网广播(因为它还不知道目标IP的MAC,就只能发广播包),在ARP请求数据包中将本机的物理地址填充为"00:0F:3D:14:0F:1D",目标地址填充为"FF:FF:FF:FF:FF:FF"这个广播地址(如图中蓝色圈所示)

在ARP协议层中将源物理地址又填充了一遍,还是"00:0F:3D:14:0F:1D",源IP地址填充为"192.168.0.1",目标IP填充为"192.168.0.111",而目标物理地址该填多少呢? 因为还不知道(废话,知道就不用发请求包了), 所以就全填成"00:00:00:00:00:00"(如图中红色圈所示), 由响应方即"192.168.0.111"这台机器来回填这个数值,并构造好ARP响应包,再发回给请求方, 只不过ARP响应包中这个先前要获知的目标MAC就成了源MAC. 而且因为清楚的知道原发送方的MAC, ARP响应包就不用发到广播地址了.

关于ARP协议的规范,请参考: http://www.protocolbase.net/protocols/protocol_ARP.php

关于ARP协议的作用,你可以看看这篇文章: http://www.csna.cn/forum.php?mod=viewthread&tid=998&highlight=arp

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

tpstar
发表于 2006-9-23 23:21:02 | 显示全部楼层
00 0F 3D 14 0F 1D 这个MAC地址上面肯定有问题,相对应的IP为192.168.0.1
这种情况我碰到过,中了病毒.而且这个时候,你的交换机灯肯定闪得很快,
回复

使用道具 举报

KelvinFu
发表于 2006-9-24 15:51:34 | 显示全部楼层
应该是不正常的!

正常情况下ARP的通讯模式,正常是一应一答的,但是从你抓取的数据抱中,看到的就是网关192.168.0.1一直向主机192.168.0.111发ARP请求!这可能是不正常的,可能是病毒引起的。

另外,不排除另外一个中可能性,以前看HUAMAO同志说的,工网关一直在请求192.168.0.111,你的网关设备是不是一个NAT设备,如果是的话,那在这个NAT设备上可能映射了192.168.0.111的某一种服务,而现在192.168.0.111服务器已经关闭或者不存在,当通过NAT外面来访问192.168.0.111这台映射的服务时,发现主机不存在了(网关设备通过发送这个arp 192.168.0.111来寻找主机是否存在),如果NAT外网一直访问这个服务的话,就会这个现象。
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表