我的网络里出现了255地址，请高手进来看看

abitggmm · 发表于 2007-1-9 18:10:30

在宽带路由器里发现了192.168.1.255的IP地址，而且有具体的MAC地址，请问这是怎么回事儿？
详见附件

tanghao · 发表于 2007-1-9 20:00:17

正常，不一定所有的.255都是广播地址
不过你的那个.255的地址好象不能够访问到外网
我刚刚自己设了个.255的地址，可以上外网。哈哈

sivalei · 发表于 2007-1-9 20:02:20

没问题，因为windows想怎么设置ip都行

刚才设置了一个1.1.1.255也可以用，当然抓出255的包咯

abitggmm · 发表于 2007-1-10 09:56:43

原帖由 tanghao 于 2007-1-9 20:00 发表
正常，不一定所有的.255都是广播地址
不过你的那个.255的地址好象不能够访问到外网
我刚刚自己设了个.255的地址，可以上外网。哈哈

但我们的IP的子网掩码是255.255.255.0，难道这里的255地址不是广播地址？
而且用netstat -r查看也显示
Active Routes:
Network Destination       Netmask       Gateway    Interface  Metric
      0.0.0.0             0.0.0.0       192.168.1.1 192.168.1.252    5
      127.0.0.0             255.0.0.0       127.0.0.1       127.0.0.1          1
   192.168.1.0       255.255.255.0 192.168.1.252 192.168.1.252    5
192.168.1.252  255.255.255.255       127.0.0.1       127.0.0.1          5
192.168.1.255  255.255.255.255 192.168.1.252 192.168.1.252    5
      224.0.0.0       240.0.0.0 192.168.1.252 192.168.1.252             5
  255.255.255.255  255.255.255.255 192.168.1.252 192.168.1.252    1
Default Gateway:    192.168.1.1

我们可以绑定192.168.1.1（网关地址），但怎样绑定255地址不被其他主机用户所使用呢？

菜鸟人飞 · 发表于 2007-1-10 13:11:47

从数据包来看，192.168.1.255既是你网络的广播地址，另外还有一部份是一个MAC地址为00:E0:4C:FE:17:37的主机所使用。
而在你的情况中，正常情况下192.168.1.255只应该是广播地址。
所以我猜测你的网络中可能存在伪造地址的攻击，这些攻击可能是由于病毒自动进行，也有可能是人为手动进行。

在这儿你可以确定一下00:E0:4C:FE:17:37这个MAC地址的主人是谁，这台机器可能是存在故障的。
如果你不知道，可以使用科来网络分析系统技术交流版里附带的“科来物理地址扫描器”扫描一下，扫描的结果中会列出这台机器的主机名，你从主机名上确定一下其主人。

viviviva · 发表于 2007-1-10 14:50:30

数据太少,只能猜猜!!!

abitggmm · 发表于 2007-1-10 15:30:54

原帖由 菜鸟人飞 于 2007-1-10 13:11 发表
所以我猜测你的网络中可能存在伪造地址的攻击，这些攻击可能是由于病毒自动进行，也有可能是人为手动进行。

首先感谢”人飞“！
我也这样想，但如何防止类似事件的发生，换句话说，怎样才能使别人设置不了255这个IP呢，我们知道192.168.1.1的IP可以绑定网关的，难道就没有办法绑定广播地址吗？

超级版主 · 发表于 2007-1-10 16:32:36

说实话，我还真没听说过可以绑定广播地址的。
你可以找到该机器，将其断网，对方会主动来找你，你再借助你们公司的非技术手段进行管理吧，这样的效果可能会相对较好。

abitggmm · 发表于 2007-1-10 17:08:49

哪这样的话，始终就是一个问题

要是网内有用虚假的MAC来发255的ARP包的话，又没绑定255，整个网络将会很难受，要是这种情况的话，我如何追查发包人呢？

盼高人指点。

abitggmm · 发表于 2007-1-26 14:51:08

为何我的宽带路由器里会有255地址?
答案：原来有人将自己的IP设成了192.168.1.255了,所以路由器的IP-MAC绑定中会出现255。

究竟可不可以设置192.168.1.255/24地址呢?
经本人试验：
192.168.1.255/24地址是可以被客户机设置的，而且上网等一切正常。
WIN2003中设置未通过
win2000Server中通过!!!!
红施linux中可以通过,但第二次测试的时候,却又通不过（是不是虚拟机作怪，没有试验环境，不得而知），见后面附图
XP-SP1中无法通过
这样一来，在同一网段中就存在着两个MAC不相同而IP都为192.168.1.255的机器：一个是FF-FF-FF-FF-FF-FF，另一个客户机PC。

想请问在这种网络情况下：
1、客户端发出的广播是经FF-FF-FF-FF-FF-FF转呢?还是由IP为255的PC转?
2、虽然192.168.1.255/24是192.168.1.0/24的广播地址，但它仍然合法，所以仍然可以上网,只是PC发出的HTTP请求后,网站是如何响应PC的，

而不是响应FF-FF-FF-FF-FF-FF?

怎样发现255地址呢？
最直观的就是从宽带路由器里查看IP-MAC绑定，会发现有
87-0d-87-0d-87-0d 192.168.1.1.255 未绑定等字样
（当然也可以抓包分析）

怎样通知设置为255的用户呢？
如查有用户-IP-MAC表的话，一查便知；
没有，直接在宽带路由器里禁掉其MAC，不然其上网，它自然找你啦！

如何防范用户设置255IP？
我的思路是绑定255IP给FF-FF-FF-FF-FF-FF，其他用户就不能再使用了。
于是，我作了下面试验：
在TP-LINK宽带路由器中设置192.168.1.255绑定给FF-FF-FF-FF-FF-FF,结果出错!
路由器上不行，我又在客户机上试验：
进入WIN2003中CMD中试用ARP命令
arp -s 192.168.1.255 FF-FF-FF-FF-FF-FF (结查成功!)
arp -a (发现下面记录)
Interface: 192.168.1.252 --- 0x20004
Internet Address Physical Address Type
192.168.1.255 ff-ff-ff-ff-ff-ff static

按照ARP防范办法：路由器上和客户机双绑定，但目前只是客户机上可以绑定。
……
后来一想，客户机既然可以设255地址，那何不将一个不存在的MAC：01-02-03-04-05-06 绑定给192.168.1.255 呢？
这样一来，即便用户“误”操作，也会出现IP地址冲突的错误。（当然可不可以用IP与MAC双克隆的方法破，本人未做试验）

下一个疑问：
究竟255的机器能干什么呢？请高手讲解一下。

逍遥一指令 · 发表于 2007-1-26 17:29:20

192.168.1.255/24
是属于定向广播这一个范畴

逍遥一指令 · 发表于 2007-1-26 17:31:28

[转] [转] [转]
个人觉得有必要在这里解释下2个名称，因为很多人都将2者统称为广播地址！但是还是有区别的！

概念：
定向广播地址：泛指同一个网段上的所有ip地址。
本地广播地址：所有的ip地址。从0。0。0。1-255。255。255。254

比如：

192。168。1。1/24，这是一个标准的c类ip地址。

192。168。1。0是网段号
192。168。1。255是广播地址（定向广播地址）
255。255。255。255是广播地址（本地广播地址）

他们之间的区别是，路由器会发送定向广播地址，而不会发送本地广播地址。

我的网络里出现了255地址，请高手进来看看

本帖子中包含更多资源

本帖子中包含更多资源