CSNA网络分析论坛»首页 流量分析 网络分析 请教 能PING通网关却不能上网 改默认网关后才行 ...
返回列表 发帖
查看: 17615|回复: 10

请教 能PING通网关却不能上网 改默认网关后才行

[复制链接]
agznyh
发表于 2010-4-8 13:16:43 | 显示全部楼层 |阅读模式
本帖最后由 agznyh 于 2010-4-9 12:47 编辑

最近经常出现突然断线无法上网的情况当时可以PING通192.168.1.1,PING百度就是无法解析或未响应 动态绑定 防火墙 等都没用

多次观察发现每次出现这种情况一定有IP为34的机子在线

后来又一次无法上网时我把TCP属性的默认网关改成192.168.1.34马上就PING通百度了

但是ARP缓存表里的网关以及已经MAC地址都正常  PING不通192.168.1.34

科来分析的数据包有大量“谁是xxx告诉XXX”这是某种ARP病毒还是什么。

我这局域网的人很不道德...之前也发过几种情况了 有新情况我会继续跟大家探讨

工程 14.zip (34.83 KB, 下载次数: 19)
123123123123.jpg
DFGDFGDFGDFG.jpg


工程 15.zip (37.36 KB, 下载次数: 15)

     工程14与截图为无法上网时 工程15是可以上网时的
回复

使用道具 举报

luxin198471
发表于 2010-4-8 17:37:55 | 显示全部楼层
找到他 K他 ,让管理员封他

怎么现在是30个字符啊  困惑
回复

使用道具 举报

iejtqy
发表于 2010-4-8 22:29:49 | 显示全部楼层
本帖最后由 iejtqy 于 2010-4-8 22:35 编辑

出现这种情况,楼主可以把在出现症状的时间抓包上传上来,让大家也可数据可供查看问题.还是你说的:"科来分析的数据包有大量“谁是xxx告诉XXX”这是某种ARP病毒还是什么"你要的数据写上来.
我不知道楼主知不知道关于ARP的原理如果不知道的话可以参考一下这几个贴子:
http://www.csna.cn/network-analyst-210-1-1.html
http://www.csna.cn/forum.php?mod=viewthread&tid=4416&highlight=arp
http://www.csna.cn/forum.php?mod=viewthread&tid=4918&highlight=arp
或搜索下关于ARP的帖子看看.
回复

使用道具 举报

agznyh
 楼主| 发表于 2010-4-9 13:10:42 | 显示全部楼层
昨天可以通过34网关上网 视乎是被他知道了 今天断网后 我马上把网关改成34,刚连上了两下就无法再连上PING局域网其他机子不通
  我猜想是不是34做了绑定 因为从科来能看见 谁是 192.168.1.34? 告诉 192.168.1.23 ,192.168.1.34 在 00:1E:EC:A9:23C
  ARP原理多少了解了一些。 要欺骗我的防火墙应该是不可能的 至少P2P终结者或者骤升网管理这样的攻击都能拦截下来。   不能上网时候从ARP防火墙的流量分析看 网关的非广播回复高达上万个,会不会是不欺骗网关照成的  请高手下载分析
回复

使用道具 举报

xmv
发表于 2010-4-9 15:00:41 | 显示全部楼层
根据你所描述的情况上看,你的局域网内有arp中间人攻击,意思就是说此种病毒欺骗了网关,和你
自己是否开启了arp防火墙或者静态绑定没有关系。
你出去的数据是经过网关出去的,但是返回的数据从中病毒的计算机上迂回到你的计算机,由于病毒
本身的处理效率和计算机资源的关系,导致局域网内的计算机访问internet出现时断时续情况。
要解决你自身的问题,只有在网关上做到你计算机的静态绑定。要完全解决问题,只有花点力气找
出中病毒的计算机了。
回复

使用道具 举报

agznyh
 楼主| 发表于 2010-4-10 11:08:13 | 显示全部楼层
可以明确是34那台机子 也应该就是你说的数据通过他的机子传到我这,现在就是不清楚是病毒还是人为。  个人认为不是病毒 因为之前把网关IP改成他的以后可以上,而这次不行 我前面也说了一个细节: 之前他的IP与MAC都没有绑定的 断网后我立刻改网关连上去了一下又断了 这时发现他的IP已经绑定。。。 病毒很智能!

新情况: 我使用各种攻击软件防御软件攻击他,网络还是连不上。 一段时间后连上去了 扫描34机子下线了 没多久又断网 这次科来MAC扫描不到34了 P2P等软件才扫的到。 这说明刚才能连上的那一下 应该是动了什么手脚,然后重启
回复

使用道具 举报

agznyh
 楼主| 发表于 2010-4-10 11:19:33 | 显示全部楼层
这个应该是中间人攻击的一种吧 信息没返回到我机子上 受到楼上启发想到一个思路, 无法阻止他欺骗网关就只能从34获取信息。 于是将本机IP与网卡MAC改成34那台机子的 报告网内有ip地址冲突 但可以上网了 从科来还能看见他正在多玩交友网看....。
回复

使用道具 举报

linminwww
发表于 2010-4-11 21:53:12 | 显示全部楼层
楼主,要知道网关的意义就不会更改网关为了192.168.1.34了
从楼主的图1的ARP防火墙中可以看出同时192.168.1.34在进行ARP欺骗,

建议在路由上与本机关实现双绑
或者在论坛搜索ARP会有很多相关问题,你会得到相应的答案

要不找到192.168.1.34电脑主人武力恐吓一下
回复

使用道具 举报

hudeg632
发表于 2010-4-12 17:33:54 | 显示全部楼层
包没抓完全,看不到34的生成树的包.34可能用ARP软件控了下你,没什么的.
回复

使用道具 举报

agznyh
 楼主| 发表于 2010-4-12 20:20:44 | 显示全部楼层
其实更改网关也是可以上的 只要在本机把虚拟IP与网关真实的MAC绑定就行了

  我传错包了...  我几乎把每种控制软件都下载了模拟各种情况 还没发现那种能突破ARP防火墙的,至少试用版不行。所以肯定是对网关的攻击啦 准备了解这是怎么弄的

   昨天楼里几个检查了路由,声响很大 惊动34了... 这两天消失不见,可能改MAC了
   大家如果有出现类似情况 也不妨将网关改成那台能上的机子试一试
回复

使用道具 举报

yuwei001
发表于 2010-4-14 15:32:13 | 显示全部楼层
为什么不找到网管,然后告诉他这事,让他找出34的本人不就行了
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表