恼火的伪造IP攻击

xtgd · 发表于 2006-12-20 14:03:41

ARP硝烟刚去,现在我们小区网现在出现新的问题, 故障现象是网络慢拌随吊线.我们小区有80几户分在同VLAN下我用科来系统检测发现有许多假IP在传输数据(我判断原因:1. 一些私有地址跟本不是我配出去的即在这80户以外. 2.80几户在科来本地网络看有400多户)
   通过截包看那些假IP老是说  哪个是192.168.1.4请告诉192.168.1.2 等等 ARP包  我认为这不正常估计是某机器中毒或木马发作进行伪装IP攻击. 但关键是我怎么在这么多IP中找到哪个是源机啊
   跪求解决抓鬼机的方法谢谢拉

KelvinFu · 发表于 2006-12-20 14:07:45

伪造IP找起有点麻烦的，借助单端口的分路器（TAP），分别捕获单向数据流！

单端口的分路器有4个端口，2个网络接入口，2个网络监听口，分别都是一个进，一个出，所以两个连接到安装科来的机器上，其中一个是从外到内的数据包，一个是从内到外的数据。

打个比方：如果你抓取从内到外的数据包，这时出现源MAC是外面的（如网关）的机器，这表明内部主机肯定存在伪造MAC的攻击行为。这时再一步一步细化，对主机进行分段查找，即可查找具体的伪造源头。

[ 本帖最后由 KelvinFu 于 2006-12-20 14:32 编辑 ]

ghostorc · 发表于 2006-12-20 14:57:09

其实，我觉得怀疑病毒的可能性更大些!

kyokof · 发表于 2006-12-20 18:15:18

感觉小区上网的话，最好不要让局域网机器通信~~~
如果想找到问题机器的话，斑竹的方法不错