求助！！！！很急咧！！帮忙！

fkyou · 发表于 2007-5-21 08:10:21

我公司得电脑连接方式是单独的局域网,其中大部分不能上外网.只有5台能上外网.我自己电脑的IP是192.168.1.146.连接是用的宽带猫加8口交换机.最近两天老是发生瞬间断网的现象.我自己的电脑安装了科来.检测到了ARP请求风暴.主机的地址是我的自己电脑的IP.我PING网关也PING不通.但是我用卡巴斯基杀了几次病毒并没有发现病毒现象.不知道怎么回事啊..请高手帮我看看..
我抓几个图上来..

[ 本帖最后由 fkyou 于 2007-5-21 08:27 编辑 ]

luotao251 · 发表于 2007-5-21 08:45:09

没给出网关IP与MAC地址，从下载的数据包看不出什么问题。PING网关也PING不通的话你可以把你的电脑断开网线，看另外4台能不能Ping通网关。卡巴斯基如果不是正版且病毒库没更新的话是发现不了病毒的

fkyou · 发表于 2007-5-21 08:52:12

卡巴是用360免费注册码的哪一个了.
网关的ip是192.168.1.1 mac地址是00-19-21-C5-A5-8B
我自己的电脑ip是1923168.1.146 MAC地址是00-E0-4C-4A-F6-B4

luotao251 · 发表于 2007-5-21 09:09:36

找到MAC地址为00：0A：EB：8B：7A：2C的机器。断网杀毒。（见下图）

fkyou · 发表于 2007-5-21 09:22:37

MAC地址为00：0A：EB：8B：7A：2C的是网关的啊192.168.1.1的地址那.怎么搞啊

[ 本帖最后由 fkyou 于 2007-5-21 09:24 编辑 ]

palm · 发表于 2007-5-21 09:34:35

发个包上来，看一下，可能不止一个攻击地址。

luotao251 · 发表于 2007-5-21 09:36:01

你上面不是说过：
网关的ip是192.168.1.1 mac地址是00-19-21-C5-A5-8B
所以现在这个网关ＩＰ地址是伪造的。问题在ＭＡＣ地址为00-0a-eb-8b-7a-2c 这台机器上。要先找到这台机。断网杀毒。

zealotcc · 发表于 2007-5-21 09:36:02

包没有做镜像，在本机146肯定是有问题的，单播形式疯狂arp请求网关，自己还在不停的告诉网关自己的mac

fkyou · 发表于 2007-5-21 09:42:14

不好意思啊..mac地址是00-19-21-C5-A5-8B是下面一个工作站的电脑..是192.168.1.11IP的MAC
MAC地址为00：0A：EB：8B：7A：2C的才是网关的啊192.168.1.1..
到底怎么解决这个问题.

zealotcc · 发表于 2007-5-21 09:46:09

抓包的这台146先断网，观察一下

fkyou · 发表于 2007-5-21 09:48:05

怎么观察.就是我现在用的这电脑那.
你告诉我怎么做.不然我等下断网了那我不是一头雾水啊..
具体点了.谢谢

fkyou · 发表于 2007-5-21 09:57:29

我断了下.断了并没发现ARP请求风暴.我一插上就请求ARP风暴

luotao251 · 发表于 2007-5-21 09:57:53

原帖由 fkyou 于 2007-5-21 09:42 发表
不好意思啊..mac地址是00-19-21-C5-A5-8B是下面一个工作站的电脑..是192.168.1.11IP的MAC
MAC地址为00：0A：EB：8B：7A：2C的才是网关的啊192.168.1.1..
到底怎么解决这个问题.

请问楼主网关的MAC地址第一次00-19-21-C5-A5-8B和第二次00：0A：EB：8B：7A：2C是如何得出来的。

fkyou · 发表于 2007-5-21 09:59:52

不是的.哪个我打错了..
并是得出来得..我在MS-DOS下用ARP -A查询得出得192.168.1.1的MAC是00：0A：EB：8B：7A：2C,而00-19-21-C5-A5-8B是一工作站电脑得MAC.我用MAC扫描出来的

[ 本帖最后由 fkyou 于 2007-5-21 10:01 编辑 ]

zealotcc · 发表于 2007-5-21 10:02:19

原帖由 fkyou 于 2007-5-21 09:57 发表
我断了下.断了并没发现ARP请求风暴.我一插上就请求ARP风暴

既然找出问题所在就解决啊。。。

luotao251 · 发表于 2007-5-21 10:03:07

在MS-DOS下用ARP -A查询得出得192.168.1.1的MAC是00：0A：EB：8B：7A：2C，这样不对的，应进入路由器管理界面查出来才是真正的。

luotao251 · 发表于 2007-5-21 10:05:27

原帖由 fkyou 于 2007-5-21 09:59 发表
不是的.哪个我打错了..
并是得出来得..我在MS-DOS下用ARP -A查询得出得192.168.1.1的MAC是00：0A：EB：8B：7A：2C,而00-19-21-C5-A5-8B是一工作站电脑得MAC.我用MAC扫描出来的

在有ARP病毒的情况下，网络中的信息都不可靠了。应进入路由器管理界面查出来才是真正的。快进去看看吧

fkyou · 发表于 2007-5-21 10:10:30

但是我不知道路由器的密码.其默认的密码也不是ADMIN那..不知道被谁改过..我们单位没人管这东西啊....买了也好几年了..我也不是网管啊.

[ 本帖最后由 fkyou 于 2007-5-21 10:11 编辑 ]

luotao251 · 发表于 2007-5-21 10:13:22

原帖由 fkyou 于 2007-5-21 10:10 发表
但是我不知道路由器的密码.我们单位没人管这东西啊....买了也好几年了..

那就比较麻烦了，看看是什么牌子的，查询出厂家电话咨询。或者reset路由器还原到出厂设置。不过你自己要知道如何设置才行的

luotao251 · 发表于 2007-5-21 10:24:58

用这个软件试试。用gui扫描真实的电脑MAC和对应IP。MAC地址为00：0A：EB：8B：7A：2C的机器先找出对应IP来，断网处理。

fkyou · 发表于 2007-5-21 10:35:14

用GUI并没没有扫描出来MAC地址为00：0A：EB：8B：7A：2C的电脑.只有网关的MAC是00：0A：EB：8B：7A：2C.但是我发现有一台电脑开机的.不能扫到.,,我用ARP -A在MS-DOS看了下.发现两个一样的MAC地址

[ 本帖最后由 fkyou 于 2007-5-21 10:55 编辑 ]

zealotcc · 发表于 2007-5-21 10:42:47

把146断网，看看网络还有没有问题，有再解决，没有你把这台机子格了，如何

fkyou · 发表于 2007-5-21 10:56:47

全格?
那我不是资料全丢失了?

zealotcc · 发表于 2007-5-21 11:00:39

只要能把毒杀了就行了，方法随便了，大部分杀毒软件对ARP的作用不大

luotao251 · 发表于 2007-5-21 11:08:45

原帖由 fkyou 于 2007-5-21 10:35 发表
用GUI并没没有扫描出来MAC地址为00：0A：EB：8B：7A：2C的电脑.只有网关的MAC是00：0A：EB：8B：7A：2C.但是我发现有一台电脑开机的.不能扫到.,,我用ARP -A在MS-DOS看了下.发现两个一样的MAC地址

刚才有事不在，才回来。还是要查出真实的网关MAC地址。
你自己电脑出问题的可能性不大。因用科来扫描，所以才有那么多的ARP请求。而对方不是真正的网关。所以你的电脑会不断请求。
问题应在那台没有扫描到的电脑上。在那台电脑上用ipconfig/all 查看MAC地址。看是不是00：0A：EB：8B：7A：2C。把那台电脑断网杀毒。

[ 本帖最后由 luotao251 于 2007-5-21 11:17 编辑 ]

fkyou · 发表于 2007-5-21 11:24:00

我用GUI扫了下.我也去对应了下IP地址和MAC地址.都对应上了.
如何解决这个问题啊..

fkyou · 发表于 2007-5-21 11:27:31

刚才没扫到那台后面重新扫描的时候又能扫出来了.. 而去MAC的地址也对应上了..我晕大了.唉.

luotao251 · 发表于 2007-5-21 12:03:52

进入管理界面把你路由器的IP地址找出来，找到真正的网关MAC地址。

fkyou · 发表于 2007-5-22 09:33:11

我到路由器里面看了。。
哪个00：0A：EB：8B：7A：2C的IP是网关的。。

[ 本帖最后由 fkyou 于 2007-5-22 10:49 编辑 ]

zealotcc · 发表于 2007-5-22 09:40:14

其实解决问题是最重要，现在还掉线吗？再掉的话记得，抓包，并把可疑主机断网

求助！！！！很急咧！！帮忙！

nbtscan

回复 #29 fkyou 的帖子

浏览过的版块