CSNA网络分析论坛»首页 流量分析 网络分析 如何找出攻击者的IP
返回列表 发帖
查看: 3787|回复: 14

如何找出攻击者的IP

[复制链接]
blackring
发表于 2009-10-23 19:07:31 | 显示全部楼层 |阅读模式
日 志 内 容
1 83392:清除所有日志内容.
2 83449:IP绑定冲突: LAN 中MAC地址为 00-25-86-A1-83-E2 的主机尝试使用IP地址 192.168.1.1.
3 83466:IP绑定冲突: LAN 中MAC地址为 00-25-86-A1-83-E2 的主机尝试使用IP地址 192.168.1.1.
4 83518:IP绑定冲突: LAN 中MAC地址为 00-25-86-A1-83-E2 的主机尝试使用IP地址 192.168.1.1.
5 83520:IP绑定冲突: LAN 中MAC地址为 00-25-86-A1-83-E2 的主机尝试使用IP地址 192.168.1.1.
6 83635:IP绑定冲突: LAN 中MAC地址为 00-25-86-A1-83-E2 的主机尝试使用IP地址 192.168.1.1.
7 83692:IP绑定冲突: LAN 中MAC地址为 00-25-86-A1-83-E2 的主机尝试使用IP地址 192.168.1.1.
8 83739:IP绑定冲突: LAN 中MAC地址为 00-25-86-A1-83-E2 的主机尝试使用IP地址 192.168.1.1.
9 83941:IP绑定冲突: LAN 中MAC地址为 00-25-86-A1-83-E2 的主机尝试使用IP地址 192.168.1.1.
10 84049:IP绑定冲突: LAN 中MAC地址为 00-25-86-A1-83-E2 的主机尝试使用IP地址 192.168.1.1.
2009-10-23 18:40:47 84119s
L = 192.168.1.1 : M = 255.255.255.0
上面这个是在路由器系统日志里的内容。
网关:192.168.1.1
可是在流量表里面,并没有这个MAC的IP地址。
科来也只能看到这个MAC地址,出现的频率约每分钟2次。
大家帮我分析一下,这样的问题是什么原因,该怎么解决。
谢谢
回复

使用道具 举报

robur
发表于 2009-10-23 20:01:07 | 显示全部楼层
你的交换机不可管理么?上交换机看。。。
回复

使用道具 举报

guanfeng1
发表于 2009-10-24 12:08:39 | 显示全部楼层
看记录是ARP欺骗,建议楼主用科来网络分析看一下
回复

使用道具 举报

blacring
发表于 2009-10-26 15:53:13 | 显示全部楼层
楼上,你好!
现在我不会用这个分析,已经装好了,我不清楚要看哪些数据 !
能指导一下吗?
回复

使用道具 举报

blacring
发表于 2009-10-26 16:17:46 | 显示全部楼层

这个MAC地址,在科来里面是没有IP地址的.这些包里面的目标地址是:192.168.1.1.
源地址也是192.168.1.1
现在就是想能不能分析出这是一个真实IP在搞鬼.
该怎么做?
谢谢大家了
回复

使用道具 举报

gu_chong
发表于 2009-10-26 17:13:30 | 显示全部楼层
交换机里看看这个mac是在哪个端口,如果是伪造的mac用流量分析软件很难定位其物理位置。
回复

使用道具 举报

blacring
发表于 2009-10-26 17:25:10 | 显示全部楼层

就是这个MAC,在捕获一段时间后,其它的MAC都可以找到相应的IP,
这个却不行,一直都找不到相应的IP地址.
而这个MAC却又伪造的是网关的IP,但上网是没有问题.
急人!!!!
回复

使用道具 举报

blacring
发表于 2009-10-26 17:26:06 | 显示全部楼层
在交换机上是找不到这个MAC地址,
回复

使用道具 举报

sghgame827
发表于 2009-10-30 10:31:53 | 显示全部楼层
1# blackring

希望楼主仔细检查备份网络中的mac地址对应表 以便有故障及时查找故障点 我的局域网内安装了海蜘蛛软路由系统 里面有一个功能开启会造成这样的情况 定期广播正确的arp数据包 软件的设置也会影响到 网络 希望楼主仔细排查
回复

使用道具 举报

qsxdyx
发表于 2009-10-30 11:15:46 | 显示全部楼层
哈哈,和我的一样,加我QQ330713294
回复

使用道具 举报

anday02
发表于 2009-10-30 12:06:51 | 显示全部楼层
建议楼主使用sniffer或者wireshark,通过看哪台机的流量大小找出攻击的计算机。也可以查得出来哪台机中了ARP病毒的。平时可以使用wireshark把局域网的MAC地址和IP地址搜集起来。或者用MAC地址扫描器扫描出来做备用
回复

使用道具 举报

blackring
 楼主| 发表于 2009-11-6 16:32:10 | 显示全部楼层
建议楼主使用sniffer或者wireshark,通过看哪台机的流量大小找出攻击的计算机。也可以查得出来哪台机中了ARP病毒的。平时可以使用wireshark把局域网的MAC地址和IP地址搜集起来。或者用MAC地址扫描器扫描出来做备用
anday02 发表于 2009-10-30 12:06


流量也不一定看得出来的,因为这个冲突消息,不是一直存在的,过几分钟或几秒来一次.没有规律的.
嗅探也用了,可就是找不到它相应的IP地址,只看得到它与FF:FF:FF:FF:FF:FF的通信.
在抓到包里面,就算有IP地址,也是伪造的:192.168.1.1.
回复

使用道具 举报

fcl8399
发表于 2009-11-9 14:28:08 | 显示全部楼层


会出现这样情况的范围也许是网内谁的机器用了路由器且开启dhcp,看你用的这个地址段
应该机器不多;你改下地址段再查看,一般的路由器几乎都设置这个网段;当然你不好查
具体是那个机器。
回复

使用道具 举报

yeanjq
发表于 2009-11-23 17:42:32 | 显示全部楼层
问题解决了没有,是怎么处理的 5# blacring
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表