奇怪的1.1.1.1地址

redhat9i · 发表于 2010-9-7 10:05:34

某电力公司的网络，网络比较简单，他是把两个C类地址子网划大成一个网络的，仅用作内部办公用，无法连接互联网。我们之前在里边部署防毒墙后打开总公司WEB页面很慢然后就对网络抓包，抓包后发现防毒墙经常和1.1.1.1 或者1.2.3.4有很多通信，我的笔记本电脑放到他们网络中也和这个地址有通信。询问管理员这是什么地址，他们不知道，这两个地址不应该出现在他们网络中，检查MAC地址，发现MAC地址居然是我自己电脑的MAC，有时候又是另外的MAC。
大家知道这个是怎么回事吗，我把当时的数据包传上来大家帮忙看看

long_323 · 发表于 2010-9-7 12:46:39

嗯，的确有问题。在arp诊断中，出现大量arp扫描主机。
特征如下：

涉及的相关地址为：

另外10.185.202.226:4719这台主机，有中了木马嫌疑，稍后LZ根据tcp 4719去查看一下，相关进程，确定具体原因。特征如下：

redhat9i · 发表于 2010-9-7 13:53:09

感谢版主解答，他们那里有一套安全系统，做接入管理的，如果是未经许可的接入则无法进行通信，阻止方式好像就是发送ARP干扰包，不知道那些地址是否和这个有关，我稍后去核实一下。
1.1.1.1和1.2.3.4这两个地址是怎么回事啊

sdlsdyg · 发表于 2010-9-8 09:11:04

这些地址应该是病毒机器中发出的假的IP地址。

redhat9i · 发表于 2010-9-8 10:39:04

依楼上所见，这些假地址可能是那个IP或MAC发出来的呢

long_323 · 发表于 2010-9-8 11:17:44

5# redhat9i
是这台机器10.185.202.226发出的，目的是连接到木马控制端，1.1这个地址可能是不存在的

redhat9i · 发表于 2010-9-8 13:23:59

刚去查了是深信服（文件签名上写的）的一个什么东西在该电脑上发出来的，文件生成时间是7月31日21:30，那个时候电脑应该在家里，怎么会有这东西呢，奇怪。

jony6 · 发表于 2010-9-8 16:15:10

一般特殊IP的~~就要注意啦!~一般都是遭了~~

snowhite · 发表于 2010-9-9 19:56:53

Mproxy有时要连接这样的IP.

奇怪的1.1.1.1地址

本帖子中包含更多资源

本帖子中包含更多资源