请高手看看是否中了ARP

xj1279 · 发表于 2007-9-12 20:44:42

如果是，请告诉我如何通过科来找出病毒机。谢谢

xuefu · 发表于 2007-9-12 23:17:53

是,IP尾数为89,78,111已被感染.

xuefu · 发表于 2007-9-12 23:23:22

另外还有两台主机IP有冲突,IP为192.168.1.27,MAC为00:30:18:A9:CE:C2和00:30:18:A9:CA:CC

musics · 发表于 2007-9-13 00:31:48

初步判断是中了,好好查查毒

luxxsys · 发表于 2007-9-13 00:44:01

请问各位能告诉我们怎么分析这个案例吗？

能不能说详细一些最好附图啊，我是新手正在努力学习科来，案例就是最好的帮手所以想请各位多多帮忙啦。

非常感谢非常感谢！

wuxiauto · 发表于 2007-9-13 15:04:26

应该是ARP病毒，伪造了一个假的网卡地址和ip 造成网络数据堵塞，以欺骗性质导致网络异常。
IP为192.168.1.27,MAC为00:30:18:A9:CE:C2和00:30:18:A9:CA:CC 其中一个是伪造的。可以采用网卡地址与IP绑定，试验下，尤其是网关。

wuxiauto · 发表于 2007-9-13 15:09:33

FF：FF: FF: FF: FF:FF 这个是广播，数据出不去，请检查服务器与外部网络连接是否正常。

smzxpc · 发表于 2007-9-14 00:35:33

从流量来看．网络还算正常吧．　　
也没有ＡＲＰ中毒现象．　如果中了ＡＲＰ后．某台主机会一直发出错误数据包．用科来软件的诊断就可以看到是那台主机在发出ＡＲＰ请耱风暴．．

交流