登录
CSNA会员注册
找回密码
搜索
搜索
本版
用户
CSNA网络分析论坛
»
首页
›
流量分析
›
网络分析
›
出现不能上网的网络问题,请求帮助
返回列表
发帖
查看:
1884
|
回复:
4
出现不能上网的网络问题,请求帮助
[复制链接]
wjh0125
wjh0125
当前离线
积分
0
发表于 2007-3-9 09:05:02
|
显示全部楼层
|
阅读模式
100台左右电脑的网络,通过DHCP进行地址分配,网络为192.168.0.0,近阶段发现经常会出现部分电脑不能上网的情况。对不能上网的情况进行分析,问题出现在DNS指向被更改(DHCP配置中指定的DNS为221.228.255.1,是本地电信的DNS,现被更改为192.168.1.1)。通过SNIFF对网内数据进行捕获,发现存在两个不正常的IP地址,分别为192.168.1.1及0.0.0.0,其中这两个IP均向网内发送数据包。
数据捕获是通过网关服务器上的TCPDUMP进行捕获的,附件中为数据包,请帮助分析一下,可能的情况。
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
CSNA会员注册
×
回复
使用道具
举报
菜鸟人飞
菜鸟人飞
当前离线
积分
172
发表于 2007-3-9 09:18:46
|
显示全部楼层
从数据包来看,192.168.1.1和0.0.0.0的数据包全都是BOOTP的数据包,只是用于获取地址,与DNS应该没有多大关系。
检查被更改DNS的机器是否感染病毒,从而导致DNS被更改。
回复
使用道具
举报
wjh0125
wjh0125
当前离线
积分
0
楼主
|
发表于 2007-3-9 10:24:55
|
显示全部楼层
问题就奇怪在这里,当网络中出现了192.168.1.1的机器后,才出现DNS被修改的现象,此机器停止运行后,就正常了,目前还未能定位到192.168.1.1的机器具体使用者。
另外,网络自动分配的地址应该是192.168.0.10-192.168.0.254,为什么会出现192.168.1.1。
回复
使用道具
举报
菜鸟人飞
菜鸟人飞
当前离线
积分
172
发表于 2007-3-9 13:28:30
|
显示全部楼层
可能是伪造攻击。
查找对应MAC,主机名,看下能否找出是哪台机器。
回复
使用道具
举报
wjh0125
wjh0125
当前离线
积分
0
楼主
|
发表于 2007-3-10 02:42:37
|
显示全部楼层
攻击造成DNS被修改,这是一种什么样的原理呢?
回复
使用道具
举报
返回列表
发帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
CSNA会员注册
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
快速回复
返回顶部
返回列表
发表于 2007-3-9 09:05:02
发表于 2007-3-9 09:18:46