局域网ARP，请大家帮我分析一下看中毒机器是哪一台，多谢

last520 · 发表于 2007-8-17 11:27:23

只是一个神话 · 发表于 2007-8-17 12:03:42

00:0D:87:3D:42:86

主机IP：10.26.46.202

出现ARP扫描不一定是中毒，可能是一些扫描软件引起的。

qzyuanmu · 发表于 2007-8-17 12:05:21

楼主的　唯一的一个A类地址

菜鸟人飞 · 发表于 2007-8-17 14:24:13

原帖由 last520 于 2007-8-17 11:27 发表
局域网ARP，请大家帮我分析一下看中毒机器是哪一台，多谢

分析数据包后，结论如下：
1. 楼主的安装部署不正确，参考论坛中的部署帖子重新部署。
2. 科来中显示的ARP扫描和ARP请求风暴的源主机是00:0D:87:3D:42:86。但是由于楼主的网段在192.168.1.0/24，而这台机器的IP是10.26.46.202，且ARP扫描的范围也是10.26.46.0/24这个网段。故推测，这个ARP扫描可能有可能不是病毒引发，而是人为测试产生。

last520 · 发表于 2007-8-17 14:32:09

在这之前局域网是直接外网接交换机。。
然后昨天特意加了一个路由，所以网关地址也变了，以前是10.26.46.1－199这网段，现在换成192.168.1.×了

last520 · 发表于 2007-8-17 14:33:28

这个10.26.46.202在之前就一直显示的

last520 · 发表于 2007-8-17 14:33:49

但在局域网内貌似没有这个10.26.46.202这台机器

菜鸟人飞 · 发表于 2007-8-17 14:35:15

找到MAC地址是00:0D:87:3D:42:86这台机器。
对其进行定点检查。

last520 · 发表于 2007-8-17 17:24:18

我用科来物理地址扫描器也扫不到这个mac地址

只是一个神话 · 发表于 2007-8-17 17:31:36

LZ确定所有机器都开着？是否有电脑关了，或是断网了，或是你没扫到。如果是伪MAC攻击，不应该是这种形式的啊。。。

qzyuanmu · 发表于 2007-8-21 10:38:38

原帖由 82080747 于 2007-8-21 10:23 发表
我怎么看不到附件呢砸的啦好几个帖子都是这样的

现在可以了哦　

xinya225 · 发表于 2007-8-23 21:57:01

哈哈、、、
原来很简单的问题啊