登录
CSNA会员注册
找回密码
搜索
搜索
本版
用户
CSNA网络分析论坛
»
首页
›
流量分析
›
网络分析
›
请教 能PING通网关却不能上网 改默认网关后才行 ...
返回列表
发帖
查看:
17588
|
回复:
10
请教 能PING通网关却不能上网 改默认网关后才行
[复制链接]
agznyh
agznyh
当前离线
积分
2
发表于 2010-4-8 13:16:43
|
显示全部楼层
|
阅读模式
本帖最后由 agznyh 于 2010-4-9 12:47 编辑
最近经常出现突然断线无法上网的情况当时可以PING通192.168.1.1,PING百度就是无法解析或未响应 动态绑定 防火墙 等都没用
多次观察发现每次出现这种情况一定有IP为34的机子在线
后来又一次无法上网时我把TCP属性的默认网关改成192.168.1.34马上就PING通百度了
但是ARP缓存表里的网关以及已经MAC地址都正常 PING不通192.168.1.34
科来
分析的数据包有大量“谁是xxx告诉XXX”这是某种ARP病毒还是什么。
我这局域网的人很不道德...之前也发过几种情况了 有新情况我会继续跟大家探讨
工程14与截图为无法上网时 工程15是可以上网时的
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
CSNA会员注册
×
回复
使用道具
举报
luxin198471
luxin198471
当前离线
积分
1
发表于 2010-4-8 17:37:55
|
显示全部楼层
找到他 K他 ,让管理员封他
哦
怎么现在是30个字符啊 困惑
回复
使用道具
举报
iejtqy
iejtqy
当前离线
积分
20
发表于 2010-4-8 22:29:49
|
显示全部楼层
本帖最后由 iejtqy 于 2010-4-8 22:35 编辑
出现这种情况,楼主可以把在出现症状的时间抓包上传上来,让大家也可数据可供查看问题.还是你说的:"科来分析的数据包有大量“谁是xxx告诉XXX”这是某种ARP病毒还是什么"你要的数据写上来.
我不知道楼主知不知道关于ARP的原理如果不知道的话可以参考一下这几个贴子:
http://www.csna.cn/network-analyst-210-1-1.html
http://www.csna.cn/forum.php?mod=viewthread&tid=4416&highlight=arp
http://www.csna.cn/forum.php?mod=viewthread&tid=4918&highlight=arp
或搜索下关于ARP的帖子看看.
回复
使用道具
举报
agznyh
agznyh
当前离线
积分
2
楼主
|
发表于 2010-4-9 13:10:42
|
显示全部楼层
昨天可以通过34网关上网 视乎是被他知道了 今天断网后 我马上把网关改成34,刚连上了两下就无法再连上PING局域网其他机子不通
我猜想是不是34做了绑定 因为从科来能看见 谁是 192.168.1.34? 告诉 192.168.1.23 ,192.168.1.34 在 00:1E:EC:A9:23
C
ARP原理多少了解了一些。 要欺骗我的防火墙应该是不可能的 至少P2P终结者或者骤升网管理这样的攻击都能拦截下来。 不能上网时候从ARP防火墙的流量分析看 网关的非广播回复高达上万个,会不会是不欺骗网关照成的 请高手下载分析
回复
使用道具
举报
xmv
xmv
当前离线
积分
0
发表于 2010-4-9 15:00:41
|
显示全部楼层
根据你所描述的情况上看,你的局域网内有arp中间人攻击,意思就是说此种病毒欺骗了网关,和你
自己是否开启了arp防火墙或者静态绑定没有关系。
你出去的数据是经过网关出去的,但是返回的数据从中病毒的计算机上迂回到你的计算机,由于病毒
本身的处理效率和计算机资源的关系,导致局域网内的计算机访问internet出现时断时续情况。
要解决你自身的问题,只有在网关上做到你计算机的静态绑定。要完全解决问题,只有花点力气找
出中病毒的计算机了。
回复
使用道具
举报
agznyh
agznyh
当前离线
积分
2
楼主
|
发表于 2010-4-10 11:08:13
|
显示全部楼层
可以明确是34那台机子 也应该就是你说的数据通过他的机子传到我这,现在就是不清楚是病毒还是人为。 个人认为不是病毒 因为之前把网关IP改成他的以后可以上,而这次不行 我前面也说了一个细节: 之前他的IP与MAC都没有绑定的 断网后我立刻改网关连上去了一下又断了 这时发现他的IP已经绑定。。。 病毒很智能!
新情况: 我使用各种攻击软件防御软件攻击他,网络还是连不上。 一段时间后连上去了 扫描34机子下线了 没多久又断网 这次科来MAC扫描不到34了 P2P等软件才扫的到。 这说明刚才能连上的那一下 应该是动了什么手脚,然后重启
回复
使用道具
举报
agznyh
agznyh
当前离线
积分
2
楼主
|
发表于 2010-4-10 11:19:33
|
显示全部楼层
这个应该是中间人攻击的一种吧 信息没返回到我机子上 受到楼上启发想到一个思路, 无法阻止他欺骗网关就只能从34获取信息。 于是将本机IP与网卡MAC改成34那台机子的 报告网内有ip地址冲突 但可以上网了 从科来还能看见他正在多玩交友网看....。
回复
使用道具
举报
linminwww
linminwww
当前离线
积分
9
发表于 2010-4-11 21:53:12
|
显示全部楼层
楼主,要知道网关的意义就不会更改网关为了192.168.1.34了
从楼主的图1的ARP防火墙中可以看出同时192.168.1.34在进行ARP欺骗,
建议在路由上与本机关实现双绑
或者在论坛搜索ARP会有很多相关问题,你会得到相应的答案
要不找到192.168.1.34电脑主人武力恐吓一下
回复
使用道具
举报
hudeg632
hudeg632
当前离线
积分
4
发表于 2010-4-12 17:33:54
|
显示全部楼层
包没抓完全,看不到34的生成树的包.34可能用ARP软件控了下你,没什么的.
回复
使用道具
举报
agznyh
agznyh
当前离线
积分
2
楼主
|
发表于 2010-4-12 20:20:44
|
显示全部楼层
其实更改网关也是可以上的 只要在本机把虚拟IP与网关真实的MAC绑定就行了
我传错包了... 我几乎把每种控制软件都下载了模拟各种情况 还没发现那种能突破ARP防火墙的,至少试用版不行。所以肯定是对网关的攻击啦 准备了解这是怎么弄的
昨天楼里几个检查了路由,声响很大 惊动34了... 这两天消失不见,可能改MAC了
大家如果有出现类似情况 也不妨将网关改成那台能上的机子试一试
回复
使用道具
举报
yuwei001
yuwei001
当前离线
积分
0
发表于 2010-4-14 15:32:13
|
显示全部楼层
为什么不找到网管,然后告诉他这事,让他找出34的本人不就行了
回复
使用道具
举报
返回列表
发帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
CSNA会员注册
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
快速回复
返回顶部
返回列表
发表于 2010-4-8 13:16:43
C