原帖由 zyf821230 于 2007-5-1 16:46 发表
我现在用Sniffer抓的包里面有一个机子他是向网内所有机子发送ARP数据包 好象是每隔5ms左右就向下一个网内地址发送ARP了
这样的情况能不能说明这个机子中了ARP病毒 还有就是ARP广播包是用的什么协议 一般在网关 路由器这些设备有可能给网内其他机子发送ARP广播包?
还有就是我想实现只抓某一个IP地址的数据包 我应该设置什么样的过滤器 主要是我不会设置
我自己胡乱设置的抓不了包
中没中毒要看ARP包的具体内容, ARP欺骗通常会发送大量的无请求响应包,告诉网关n个IP地址的网卡地址都是发包者的机器.若楼主使用科来,在诊断视图中将会看到ARP分析的结果,这点用sniffer是看不到直接的报告.
ARP广播包是借助的以太网广播协议,当ARP中的以太网目标地址协议全为FF时就是广播包了,此时ARP要请求的物理地址全为00.建议楼主先学习一下ARP协议本身.
路由器是会定时向子网内发送ARP请求,以了解网络设备的物理地址情况,但和ARP欺骗及ARP广播风暴是有区别的.
但是科来只能支持50个节点的网络 这个问题如何解决?
如果用科来做个IP过滤器是不是把想要抓的那个IP设置成接受 方向应该怎么设置 地址2指的是什么
要想增加节点数,只有楼主多发贴子,增加积分, 当你获得论坛的奖励后,就可以突破50的限制,详细信息请楼主查看此帖
http://www.csna.cn/forum.php?mod=viewthread&tid=2505
设置IP过滤器如附图所示,地址1和2是指IP数据包中通迅双方的IP地址,你可以在地址1中设置你要过滤的IP地址, 如果不能确定此IP是发包还是收包,可将方向设置成双向,地址2设置成任意即可.其实这点和sniffer中完全一样,但是从界面易用性来看,科来比sniffer好理解多了,楼主的标题有失偏颇,建议楼主应该从使用科来入手.
[ 本帖最后由 无影战士 于 2007-5-3 12:47 编辑 ] |
发表于 2007-5-1 16:46:44
发表于 2008-1-6 11:57:18
