登录
CSNA会员注册
找回密码
搜索
搜索
本版
用户
CSNA网络分析论坛
»
首页
›
流量分析
›
网络分析
›
请大家给个注意,这说明了什么问题呢? ...
返回列表
发帖
查看:
11122
|
回复:
8
请大家给个注意,这说明了什么问题呢?
[复制链接]
zmc837
zmc837
当前离线
积分
18
发表于 2006-8-2 11:01:44
|
显示全部楼层
|
阅读模式
今天做镜像抓包,发现了一个奇怪现象,不解是什么原因请大家分析一下。
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
CSNA会员注册
×
回复
使用道具
举报
zmc837
zmc837
当前离线
积分
18
楼主
|
发表于 2006-8-2 11:03:42
|
显示全部楼层
-------------------------------------------
对每个包解码,结果发现都是一样,包括标识
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
CSNA会员注册
×
回复
使用道具
举报
zmc837
zmc837
当前离线
积分
18
楼主
|
发表于 2006-8-2 11:05:58
|
显示全部楼层
特点,每20秒钟发一个包,每一个包形态特征完全相同,请朋友们分析
回复
使用道具
举报
xyaodong11
xyaodong11
当前离线
积分
3
发表于 2006-8-2 11:33:48
|
显示全部楼层
文中提到的主机每20分钟便广播一次。注意目标地址FF:FF:FF:FF:FF:FF,广播地址。这两台机器装了监控软件,或者网管软件。像P2P终结者类似的。
回复
使用道具
举报
xyaodong11
xyaodong11
当前离线
积分
3
发表于 2006-8-2 11:36:49
|
显示全部楼层
补充一下,病毒攻击也有可能。
回复
使用道具
举报
ValorZ
ValorZ
当前离线
积分
25
发表于 2006-8-2 11:39:33
|
显示全部楼层
ip包,上层是UDP协议,并非是ARP欺骗攻击。
楼主,先根据source MAC address找找看是哪个设备发出数据流量?
[
本帖最后由 ValorZ 于 2006-8-2 11:45 编辑
]
回复
使用道具
举报
zmc837
zmc837
当前离线
积分
18
楼主
|
发表于 2006-8-2 11:50:46
|
显示全部楼层
补充一下,我这里的网段是192.168.1.0/24,网关是192.168.1.1,解码中的源目标地址98bb我用nbtscan扫描,发现本地地址没有这个,ip:68.68.68.68从我这网段发送数据包到68.68.85.85去,这两个ip地址都很奇怪,是不是我网络中有机子感染病毒,然后进行地址伪装,每20秒钟就发送一次数据包呢?
回复
使用道具
举报
ValorZ
ValorZ
当前离线
积分
25
发表于 2006-8-2 12:03:03
|
显示全部楼层
你先根据MAC地址找到发送数据包的那个设备,那些数据包可能是交换机或是路由器发出的?
回复
使用道具
举报
jingshne
jingshne
当前离线
积分
19
发表于 2006-8-2 13:55:20
|
显示全部楼层
如果完全相同,那是有环路了~~
看下IPID吧~~~~
回复
使用道具
举报
返回列表
发帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
CSNA会员注册
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
快速回复
返回顶部
返回列表
发表于 2006-8-2 11:01:44
发表于 2006-8-2 11:39:33