交换环境为何收到其它ip的数据包

sec-exp · 发表于 2008-4-3 17:38:59

网关mac    192.168.1.1       00-0f-e2-0f-9f-85    static
      Ethernet adapter 本地连接:
      Connection-specific DNS Suffix  . :
      Description . . . . . . . . . . . : NVIDIA nForce Networking Controller
      Physical Address. . . . . . . . . : 00-1D-92-73-B4-8C
      Dhcp Enabled. . . . . . . . . . . : No
      IP Address. . . . . . . . . . . . : 192.168.1.81
      Subnet Mask . . . . . . . . . . . : 255.255.255.0
为何能收到公网到内网其他主机的数据包！想不明白。绝对是交换机。
我本机装了虚拟机 vpc，但ip为192.168.1.86 00-03-ff-71-b4-8c

q.rar (22.08 KB, 下载次数: 15)

sec-exp · 发表于 2008-4-3 17:40:11

hanghangzhang@hotmail.com

oldjiang · 发表于 2008-4-5 22:21:34

楼主应该是接到了一个镜像端口上，而且是单向镜像。

sec-exp · 发表于 2008-4-5 23:24:30

用的是d-link d504,普通tp-link24口的交换机。平时没有这个现象，偶尔出现。
但是局域网经常有人使用p2p终结者，等类软件。但还是想不明白为什么会有这样的包！

oldjiang · 发表于 2008-4-6 09:21:21

1、在论坛搜索“p2p终结者”，参考：
http://www.csna.cn/forum.php?mod ... ge=1&sid=yogj6F
http://www.csna.cn/forum.php?mod ... e=11&sid=vVKEwQ
2、科来过滤器--添加--从过滤器表，第一个就是ARP过滤器。正常情况下，局域网上的ARP包不会很多，可以长时间的抓包而不会把缓存用满。另外抓ARP无需特别的部署，因为ARP请求是广播包。
3、大概看了一下d-link d504的用户手册，没有提到“端口镜像”，楼主的tp-link交换机是什么型号？如果科来部署正确，则局域网上的各种应用一目了然，确实是利器。以p2p终结者为例，除了ARP扫描，还应该会有ARP欺骗（中间人），则一个MAC下会有多个IP。部署，参考：http://www.csna.cn/forum.php?mod ... &extra=page%3D1、http://www.csna.cn/forum.php?mod=viewthread&tid=7807。请楼主继续。

[ 本帖最后由 oldjiang 于 2008-4-6 09:35 编辑 ]

vbs100 · 发表于 2008-4-6 11:35:08

说了你们都不信,我接的也是交换机,不过我的交换机接到hub上了

vbs100 · 发表于 2008-4-6 11:49:16

看了下数据包,192.168.1.6 00:11:25:11:B2:8E 这台是不是有问题好像在arp欺骗?

oldjiang · 发表于 2008-4-6 12:06:13

7#说的是哦。ARP一般多是看请求，应答看的少。

sec-exp · 发表于 2008-4-30 11:28:16

局域网中有人使用 P2P类似的管理软件，可能会有一些欺骗，但是目标mac并非我的mac，我怎么也会收到。是在想不明白！

sec-exp · 发表于 2008-4-30 11:29:45

关键在为啥将跟我本机无关的数据包我能收到，这是关键所在。
欺骗至少也得是跟我网卡有关系的数据包。跟本地网卡没关系，非广播，非本地应该收不到！

唯一只能是交换机了。我们的交换机就是普通二层的，也没管理功能

[ 本帖最后由 sec-exp 于 2008-5-16 16:18 编辑 ]

交换环境为何收到其它ip的数据包

msn

未解

判断