病毒穿越VLAN进行ARP风暴

ppp2 · 发表于 2007-3-16 09:26:38

单位为六层小楼，第层均划分VLAN，奇怪现像出现，一楼、五楼、六楼中个别计算机断网，
经抓包发现为一楼一计算机进行ARP风暴，进行ARP欺骗，
但广播包是不能穿越VLAN的，这个大家都知道，现在不仅穿越了，还一下穿越了两个耶，
将问题计算机断网后，全网正常，
针对该计算机进行检查，发现其中毒，（好多的毒呀，头一次见一台计算机中过那么多的毒

）
什么毒都有，木马，后门，虫，恶意软件，
各位同僚们注意......

ppp2 · 发表于 2007-3-16 09:32:21

图中
15.232为中毒机器
15.5 15.81 15.83 15.84 15.182为一楼
15.68 15.73为五楼
其他均为六楼

ysj0769 · 发表于 2007-5-12 19:24:42

下载下来看下出学习一下楼主能否讲的详细一点比如是如何看出这台机子有病毒啊

huaigu · 发表于 2007-5-12 22:56:45

闹蝗虫啊～～呵呵把你的网络拓扑给出来啊

qinla · 发表于 2007-5-12 23:52:53

上面的数据表明15.232的机子用“ 00:09:6B:42:6E:2C (IBM)” 这个地址，告诉路由自己是15.5 15.81 15.83 15.84 15.182 15.68 15.73等造成路由不能正确的识别MAC与IP的对应，导致那几台机器上不了网，你捕获数据包的位置应该在网关（路由）的位置。这并不代表15.5 15.81 15.83 15.84 15.182 15.68 15.73等机子遭到ARP欺骗，只是路由被欺骗。

hackwolf · 发表于 2007-9-12 15:56:21

晕,下载了半天,好像看到的东西并不是楼主所说的,唬人呢

okimxiaoq · 发表于 2007-10-31 12:10:02

是吗?
倒底是病毒感染其他vlan的机器然后进行广播
还是
病毒以广播方式在不同vlan传播?

我看看

wastebaby · 发表于 2007-11-6 15:36:20

要看网络拓图，哪位达人详解一下。

lbzxy · 发表于 2007-11-14 15:27:31

楼主的公司除了有ARP病毒欺骗，还有很多主机在BT、FTP，在线视频、音频等，看来网络管理不是很完善哦。

ycltkj · 发表于 2008-1-12 10:03:25

五楼说的很有道理啊

icexplorer · 发表于 2008-4-28 06:51:56

收了，把图弄出来吧，关注中

yuanye002 · 发表于 2008-4-30 02:05:19

遇到类似问题，LZ，下了数据包了，研究下先。
怎么打开不了，提示文件无效！！
LZ是什么版本的科来？

[ 本帖最后由 yuanye002 于 2008-4-30 02:06 编辑 ]

lenny · 发表于 2008-4-30 05:32:00

穿越VLAN????????????????这么强啊

nicklyj · 发表于 2008-5-11 21:52:02

穿越VLAN那是不可能的，只欺骗网关而于。广播包是不可能跨VLAN传播。

hzb · 发表于 2008-5-16 09:15:18

那关于骗网关有什么好的办法吗?除了在网关做绑定

hzb · 发表于 2008-5-16 09:17:02

vlan 的网关是子接口的网关,它是怎么欺骗其它子接口的网关的呢?

西域浪人 · 发表于 2008-7-10 22:31:21

第一次听说ARP可以穿透VLAN哦，不知真假，有待验证。

puffdragon · 发表于 2008-8-4 18:41:01

哎呀楼主今天我们的网络也出现这种现象了，恐怖啊我们15层楼，20多个vlan
忙了几个小时才搞定，没想到ARP病毒可以穿越Vlan！

puffdragon · 发表于 2008-8-4 18:45:54

中毒的鸡鸡数据包都是“UP”，而且每发送一次就改变一个mac码

china7652 · 发表于 2008-9-13 13:24:19

P2P终结者dfsdsffffffff

a132696039 · 发表于 2008-9-13 17:08:30

P2P终结者

[ 本帖最后由 oldjiang 于 2008-9-13 19:44 编辑 ]

xunshi · 发表于 2008-9-18 15:32:01

444444444444444444444

xtwksse · 发表于 2008-10-14 10:31:49

LZ能不能把数据包详细解释一下，

maomao_040415 · 发表于 2008-10-27 16:10:08

我来学习一下啊，楼主辛苦了。

appleby · 发表于 2009-3-27 18:44:22

以前没想到，病毒会穿vlan后arp，今天下午遇到一个情况，开始怀疑有此情况了。楼主牛啊。学习了

tlbaobao · 发表于 2009-6-22 15:27:47

是真是假研究中ING!!!!!!!!!!!!!!!!!!!!!!!

wangzhao428 · 发表于 2009-7-5 18:22:59

新手学习了

lixiao139770 · 发表于 2009-7-6 14:52:48

不在一个楼层，还是在一个子网嘛

tssnowing · 发表于 2009-7-8 17:13:21

穿越VLAN那是不可能的，只欺骗网关而于。广播包是不可能跨VLAN传播。同意

xiaoshazi · 发表于 2009-7-9 09:52:33

并没有穿越vlan的arp广播，楼主只是对vlan不是很理解，不能上网的机器都是在一个广播域内。中毒的机器貌似中的是中间人攻击。

病毒穿越VLAN进行ARP风暴

评分

这并不是ARP穿越VLAN而是15.232的问题！