求救　arp -a 00-00-00-00-00-00

yanhao527 · 发表于 2007-3-22 08:54:29

这几天单位网络频繁掉线打开科来发现网络内有一台机器正在ARP扫描! 怀疑是中了ARP病毒找到该机用卡巴和瑞星均没有杀出病毒然后又用AVG EWIDO查杀木马也没有发现木马输入 ARP -A 发现有一台机器的MAC地址为00-00-00-00-00-00 ARP-D 不行再输入ARP -A 发现IP变了再输入ARP -A ip地址又变 MAC地址始终是00-00-00-00-00-00 大家来帮我看看这是怎么回事！

KelvinFu · 发表于 2007-3-22 09:42:59

估计LZ是中了ARP攻击！
但是在提供的工程文件中，由于数据比较少，不能准确的分析出故障点，工程文件中只有一些ARP请求的广播信息！

建议LZ还是按照正确的安装部署，上传捕获数据包。

yanhao527 · 发表于 2007-3-22 10:37:47

老大我又传了一个您看看这个行吗?

孩子她娘 · 发表于 2007-3-23 22:13:54

请问楼主你提供下载的数据工程文件用什么软件可以打开？

playerwhj · 发表于 2007-3-23 23:32:32

10.1.0.2可能存在apr攻击！！！杀毒，查马吧！！

enjoycool · 发表于 2007-3-25 18:51:19

是的是，什么问题呢，
楼主找到答案了吗，
最近，我网络卡，但没掉线，只是某部分机卡。
查到有一台服务在扫描，但卡过是没毒的。
用一台没邦定ARP的主机上，常看到MAC 全是0000000000的，但他的IP会变动的，
用ARP -A一次，就变动一次IP，MAC是000000000
怎么样查出那台主机来呢

逍遥一指令 · 发表于 2007-3-25 23:25:47

10.1.0.2
10.1.0.13
10.1.0.16
10.1.0.30
这几台机器ARP的频率有点高哦

zhou2893 · 发表于 2007-3-26 01:54:57

这问题我也好象遇到过从LZ提供的我看跟我们差不多其实好象产生ARP扫描的并不是显示的那台主机而是ARP欺骗其实那台机子根本没有启动我启动开发现ARP不存在然后再继续抓包看看这个我一直也纳闷是哪个机子产生的欺骗呢? 等待高手回答中

lingyungong79 · 发表于 2007-3-26 10:35:29

个人理解，用类似于网络执法官等软件分析0MAC的IP地址，记录下来，攻击0MAC的IP，再记录，分析前后IP变化的部分，包括MAC的变化，应该会有点发现的。

lingyungong79 · 发表于 2007-3-26 14:13:00

DDOS它，抓包，再查看流量。反正要想办法搞得它显出真身。

enjoycool · 发表于 2007-3-26 23:46:45

你试过没有,,,,
没办法跟得到呀,
我这的机,都做了双邦.
在邦定的机子上用ARP -A只会看到网关跟收银主机.
在没帮定的机子上用ARP -A才会发现这MAC 全是000000000 IP还会不停的变动.
就好象你说的用网络执法官,把所有的MAC和对应的IP记下来了.又怎么样.
我给张图你看就知道....
晕晕的,那里上传图片的???
做个列子:
比如用ARP -A看到
第一次:192.168.0.169 00-00-00-00-00-00
第二次:192.168.0.227 00-00-00-00-00-00
第三次:192.168.1.249 00-00-00-00-00-00 (这台是空机,没开的)
第四次:192.168.4.157 00-00-00-00-00-00 (我没这IP的机子)
那最上面二台机,我都去看了,用ARP -A,只看到网关.进程也没什么不对,正常就是
那第三次的那台,是空机,没开的.
第四次是.没这IP的,
第5次之后,就有可以IP变会192.168.0.XXX这....

enjoycool · 发表于 2007-3-26 23:54:09

现在网吧里面,双邦也觉得不安全,晕死.
时不时会有ARP风暴,,累呀,
什么东西在做怪??
有没高人出来指点,帮忙一下.

大半年前双邦后就没掉过线了.就是最近这个最时不时听人说卡机.好慢,但可以上网,只是好慢好慢..我用科来这东西跟了二个星期了,
当科来说出现ARP风暴,,如果不理那台主机慢慢的网络就会好卡,是部份.
从起那主机就没事..
总的来说,他们都是上了不明的网站中了可能是ARP功击的病毒吧.
但向这样的带有功击的网站关多了,没可能全封掉的.
迟点再不行,我准备想换路由了......

lingyungong79 · 发表于 2007-3-27 10:40:05

只能说是病毒造成的。如果带有ARP扫描的病毒你有最新卡巴配合其他防火墙加个木马克星都搞不定，那么只能说这个病毒厉害。它的传播性就会相当的广和快，那么受害的肯定不只你一个。反之，你就没有做好工作。

讨论一下啊，别太认真~

lingyungong79 · 发表于 2007-3-27 10:42:52

原帖由 enjoycool 于 2007-3-26 23:46 发表
你试过没有,,,,
没办法跟得到呀,
我这的机,都做了双邦.
在邦定的机子上用ARP -A只会看到网关跟收银主机.
在没帮定的机子上用ARP -A才会发现这MAC 全是000000000 IP还会不停的变动.
就好象你说的用网络执法 ...

如上偶所说，DDOS它或是用其他什么办法搞它下线或是重起，同时抓包分析有那台下线或重起的，过去看看，再分析。偶的意思是找方法而已。

偶没试过随口说说，不要太当真啊。

hz123 · 发表于 2007-5-2 15:28:38

14楼不要那样开玩笑他会难受的啊

求救　arp -a 00-00-00-00-00-00

本帖子中包含更多资源

本帖子中包含更多资源

回复 #9 lingyungong79 的帖子

求救 arp -a 00-00-00-00-00-00

本帖子中包含更多资源

本帖子中包含更多资源

回复 #9 lingyungong79 的帖子

求救　arp -a 00-00-00-00-00-00