各位大哥，帮帮小弟看哈，谢谢了！急等啊

ft840715 · 发表于 2007-8-27 22:53:56

各位大哥，帮忙小弟看哈！小弟要被这个整疯的了！帮忙分析哈！小弟QQ476708781 邮箱ft840715@163.com帮忙分析哈！谢谢！顺便交哈小弟！

nac116 · 发表于 2007-8-27 23:50:31

192.168.1.254 中毒，发出无数的arp请求同时又应答所有的arp请求。请问你们的192.168.1.254是什么机器啊 mac地址怎么是 88：88：88：88：88：88

nac116 · 发表于 2007-8-28 00:01:56

ARP - 地址解析协议                         [14/28]
硬件类型:                            1  (以太网)  [14/2]
协议类型:                            0x0800  [16/2]
硬件地址长度:                            6  [18/1]
协议地址长度:                            4  [19/1]
操作类型:                            1  (ARP 请求)  [20/2]
源物理地址:                            88:88:88:88:88:88  [22/6]
源IP地址:                            192.168.1.254  [28/4]
目标物理地址:                            00:19

1:23:8F:29  [32/6]
目标IP地址:                            192.168.1.186  [38/4]

各位这里arp请求的目的地址是192.168.1.186  目的mac地址怎么是一个具体的mac地址： 00:19

1:23:8F:29  啊

请看下面：

我下面这个数据包就是正常的请求过程：
ARP - 地址解析协议                         [14/28]
硬件类型:                            1  (以太网)  [14/2]
协议类型:                            0x0800  [16/2]
硬件地址长度:                            6  [18/1]
协议地址长度:                            4  [19/1]
操作类型:                            1  (ARP 请求)  [20/2]
源物理地址:                            00:12:F0:A0:88:0A  [22/6]
源IP地址:                            192.168.0.102  (NAC)  [28/4]
目标物理地址:                            00:00:00:00:00:00  (Xerox)  [32/6]
目标IP地址:                            192.168.0.14  [38/4]
这里这个arp请求的过程是先向所有的mac地址请求192.168.0.14的mac地址在哪里？

ft840715 · 发表于 2007-8-28 01:42:56

192.168.1.254是陆游地址，88：88：88：88：88：88是陆游物理地址！
我们这点情况有点特殊，估计是人为造成的！但是我想知道的是怎么可以测出源病毒发包地址是多少？

hudeg632 · 发表于 2007-8-28 03:44:11

数据包信息:
数据包编号:                            1008004
数据包长度:                            64
捕获长度:                            60
时间戳:                               2007-08-27 20:56:10.664722
以太网 - II                               [0/14]
目标地址:                            FF:FF:FF:FF:FF:FF  [0/6]
源地址:                               00:0F:E2:3F:9A:63  [6/6]
协议类型:                            0x0806  (ARP)  [12/2]
ARP - 地址解析协议                         [14/28]
硬件类型:                            1  (以太网)  [14/2]
协议类型:                            0x0800  [16/2]
硬件地址长度:                            6  [18/1]
协议地址长度:                            4  [19/1]
操作类型:                            1  (ARP 请求)  [20/2]
源物理地址:                            00:0F:E2:3F:9A:63  [22/6]
源IP地址:                            192.168.50.100  [28/4]
目标物理地址:                            81:8B:7F:C8:56:FE  [32/6]
目标IP地址:                            192.168.50.100  [38/4]
额外数据:                                  [42/18]
字节数:                               18 bytes  [42/18]
FCS - 帧校验序列:
FCS:                               0x89191B4C  (计算出的)

这是一台什么机器?它自己广播找自己MAC怎么变了?

数据包信息:
数据包编号:                            1007620
数据包长度:                            64
捕获长度:                            60
时间戳:                               2007-08-27 20:55:39.536331
以太网 - II                               [0/14]
目标地址:                            FF:FF:FF:FF:FF:FF  [0/6]
源地址:                               88:88:88:88:88:88  [6/6]
协议类型:                            0x0806  (ARP)  [12/2]
ARP - 地址解析协议                         [14/28]
硬件类型:                            1  (以太网)  [14/2]
协议类型:                            0x0800  [16/2]
硬件地址长度:                            6  [18/1]
协议地址长度:                            4  [19/1]
操作类型:                            2  (ARP 响应)  [20/2]
源物理地址:                            88:88:88:88:88:88  [22/6]
源IP地址:                            192.168.1.158  [28/4]
目标物理地址:                            FF:FF:FF:FF:FF:FF  [32/6]
目标IP地址:                            255.255.255.255  [38/4]
额外数据:                                  [42/18]
字节数:                               18 bytes  [42/18]
FCS - 帧校验序列:
FCS:                               0x53DB22EB  (计算出的)
怎么所有的IP的MAC都娈成了88888888

请注意只有192.168.1.1没有变,是你自己的机器吧

另你的网关地址变成了192.168.1.251,注意一下这台机器.

还有就是你的114这台机器怎么有哪么多IP

[ 本帖最后由 hudeg632 于 2007-8-28 04:11 编辑 ]

qzyuanmu · 发表于 2007-8-28 09:28:17

感觉楼主换马甲了，254 号肯定有问题，占用带宽那么多，
问题不一定非得是病毒的，配置等也很重要的，重点检查

ft840715 · 发表于 2007-8-28 11:07:58

254是陆游地址。我所有MAX的IP都绑定在上面！

ft840715 · 发表于 2007-8-28 11:12:04

192.168.1.254 是陆游器！我做了静态棒定在上面

只是一个神话 · 发表于 2007-8-28 12:28:09

88：88：88：88：88：88是什么设备？是一台路由器还是代理服务器还是防火墙？

ft840715 · 发表于 2007-8-28 19:49:37

说了888是陆游的物理地址了，还老是问！真不知道是看不懂还是怎么的！晕！

只是一个神话 · 发表于 2007-8-28 23:48:42

呵呵。我问的是什么路由设备，一台普通的PC机可以是路由器，一台防火墙设备也可以是路由器。路由器有很多种，如果LZ能提供更详细的信息，对于我们排查出问题所在至关重要！

因为从数据包中看是88888888为个地址中毒了。如果这台路由器是装了操作系统后用路由软件而成的路由器，那这个是成立的。反之，如果是一台硬件路由器，中毒的可能性就比较小，可以考虑是伪造MAC攻击。

很抱歉可能我说的不够清楚！

xwy3260 · 发表于 2007-8-29 09:23:12

楼主如果你的路由器是用OS做的话，那么应是路由器中毒。
如果路由器是硬件的话，应该检查配置。并且网络中存在ARP攻击。

ft840715 · 发表于 2007-8-30 15:41:38

陆游设备是飞鱼星1500+！！上面的MAX地址是我自己克隆的！原来的网卡地址为00:3C:01:50:62:EF！本来网段受到攻击的时候，MAX地址排查出来就是888的伪装地址！

nac116 · 发表于 2007-8-30 19:29:46

陆游设备是飞鱼星1500+！！上面的MAX地址是我自己克隆的！原来的网卡地址为00:3C:01:50:62:EF！本来网段受到攻击的时候，MAX地址排查出来就是888的伪装地址！

这个888.888.888不是你自己手动修改的吗？我知道
有的路由器的mac地址是可以自己进行修改的
根据楼主提供的截图应该是你自己把路由器的mac地址修改为这个地址。
望回复

顶

ft840715 · 发表于 2007-8-31 12:23:32

恩，是呢！是我自己把陆游地址改成888。