请帮忙分析一下,怎样找出附件中指示的主机?

ynettec · 发表于 2006-8-2 09:13:27

请帮忙分析一下,怎样找出附件中指示的主机?
包文件为02010000000.RAR

[ 本帖最后由 ynettec 于 2006-8-2 09:18 编辑 ]

cwym29 · 发表于 2006-8-2 10:00:45

这是一个广播数据包，发起的源MAC是02:01:00:00:00:00。
我认为，首先应该确定你的网络中是否真实地存在该MAC地址，这个可能需要你查看你网络中的IP与MAC统计信息。

如果找到，也就达到了你的需求，即找到了发起者。
不过我感觉，这个MAC地址多半是伪造出来的，即网络中存在伪造MAC地址的攻击，且是以广播方式发起的攻击，这样，该MAC地址多半不存在，你用上面的方法就找不出来。

这时，你需要根据你的网络拓扑，并结合分路器（TAP），捕获单方面的数据包，以确定该伪造的数据包是由谁发起的，如果找到是谁发起的该伪造数据包，也就找到了源攻击者。

捕获单方面的数据包的方法如下：
将分路器接在网关与内部主机间，捕获网关到内部的单方面数据包，如果存在该MAC地址的数据包，则表示是由网关发起的，如果没有，则表示攻击源在内部主机。
然后再将内部主机分组，一组一组地接上分路器，并捕获单方面数据包，这样即可找到攻击源。

ynettec · 发表于 2006-8-2 11:37:25

非常感激!
我用OMNIPEEK捕获此包,显示的协议为EHTER-88-6F
我在网络分析专家论坛上有会员讲是:WINDDOWS 服务器负载均衡设置不对.
我现在了不知道是什么问题.
我隔离网络捕获包试试.

请帮忙分析一下,怎样找出附件中指示的主机?

本帖子中包含更多资源