CSNA网络分析论坛»首页 流量分析 网络分析 网关灵异事件(1)
返回列表 发帖
查看: 3671|回复: 16

网关灵异事件(1)

[复制链接]
garyx
发表于 2008-5-19 15:25:01 | 显示全部楼层 |阅读模式
早上发一包了!也跟班主讨论了下!
具体是这样的,我用科来抓包,发现网关有很多IP地址,不是外网的,是一些非法的内网IP
我的合法IP地址带是不是92.168.1.0-255,却出现了许多171.10.....或者10.98......之类的!还与内网的某些合法主机通讯,通讯时间很多,多为TCP,想在源机器上NETSTST -ANO 看看是什么程序!但他的通讯时间实在太少,我跑过去想查的时候,通讯已经结束.啥都看不到!下面是过滤后的包!关于拓扑,大家可以看这贴http://www.csna.cn/forum.php?mod ... &extra=page%3D4

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

linminwww
发表于 2008-5-19 16:13:30 | 显示全部楼层

看看

我看了一下你那00:19:E0:EC:84:E6 (40)有四十个IP 够吓人的哦你确定这个是网关mac地址.

可以存在DDOS攻击,因为初始化的TCP连接有76个而成功建立的只有0个
tcp同步数据包没有160个没有一个人回复它.
回复

使用道具 举报

garyx
 楼主| 发表于 2008-5-19 16:23:40 | 显示全部楼层
是的!这是网关MAC!2楼,首先谢谢你的解答!我这是过滤后的包,除了192.168.1.X外,所有的IP都是假的,不知道怎出来的,当然,PING 这些异常IP也当然PING不通,所以,我想TCP连接数的不正常是应该的!还有,我这里七十多台机器,全都使用正常啊!这....真郁闷啊!
回复

使用道具 举报

linminwww
发表于 2008-5-19 17:30:22 | 显示全部楼层
我看这私有IP是正常的因为我以前的抓包抓到过私有IP还过没有你这么多只有一二个
回复

使用道具 举报

zhaojunling
发表于 2008-5-19 18:36:33 | 显示全部楼层
正常,请参考arp 和 ip寻址过程。www.baidu.com or www.google.com
某种程度上说通过该软件方面的调整可以解决这种问题。
回复

使用道具 举报

garyx
 楼主| 发表于 2008-5-19 19:42:38 | 显示全部楼层
楼上这样说!我更郁闷了!能详细点讲述吗??我对ARP与MAC的寻址过程也略有了解,但还想不出什么问题啊!
回复

使用道具 举报

oldjiang
发表于 2008-5-19 19:44:37 | 显示全部楼层
包的数量很少,肯定不是攻击。我觉得这些非本地子网的私有IP不正常,全是单向包。
回复

使用道具 举报

zhaojunling
发表于 2008-5-19 20:58:08 | 显示全部楼层
例如
ping www.126.com
着重关注回来的包的数据构成:源 ip 202.108.9.77 + 源mac 地址(这个mac地址应该是网关)+等等
ping www.163.com
回来的数据构成:源 ip 202.108.9.39+ 源mac 地址(这个mac地址也应该是网关)+等等

现在你应该可以看到2个ip地址对应一个mac.也就是说你的网关现在对应2个ip地址。

明白了吗?

[ 本帖最后由 zhaojunling 于 2008-5-19 21:14 编辑 ]
回复

使用道具 举报

oldjiang
发表于 2008-5-19 21:48:27 | 显示全部楼层
网关出去就是互联网,又没有VPN,目标地址为私有IP是不对的,这些IP变化不定,而且多个机器都在发,楼主的意思是要找出为什么会有这样的包。
回复

使用道具 举报

garyx
 楼主| 发表于 2008-5-19 22:37:06 | 显示全部楼层
8楼的意思我明白!但我这是非法内网的私有IP,而且很多!难解释啊!
我差点就怀疑到是笔记本电脑的无线网卡影响那面去了!
回复

使用道具 举报

oldjiang
发表于 2008-5-19 22:42:12 | 显示全部楼层
这个例子蛮典型,请楼主继续
回复

使用道具 举报

zhaojunling
发表于 2008-5-19 22:43:11 | 显示全部楼层
太不好意思了,我没有看得太仔细,对不起了。

现在的一些想法:
在出口路由器有没有做什么ipsec vpn或者有没有vpn服务器。
例如:在出口路由器上配置 easy ipsec vpn (cisco) 就可能出现这种情况。

备注:斑竹人不赖...
回复

使用道具 举报

zhaojunling
发表于 2008-5-19 23:11:46 | 显示全部楼层

new idea

数据都是单向:                                                            
192.168.1.88:3056          10.10.10.20:1079         
TCP  序列号=4273713725, 确认号=0000000000 所有TCP确认号都是 0,没有建立实际的连接。
个人认为软件繁杂难免会出现这样那样问题,但是不影响应用还好了。
回复

使用道具 举报

oldjiang
发表于 2008-5-20 09:42:33 | 显示全部楼层
抓了包,能抓到包,但是那个机器发包的时间短、数量少,跑过去想用NETSTAT根据端口查看进程时,通讯已经结束了,看不到了。有什么程序可以记录windows的TCP、UDP日志?内容有时间、进程、协议、端口、对端地址和端口等,关键是要记录下时间、端口和进程的名字。进程不是指定的,最好是所有的。
回复

使用道具 举报

garyx
 楼主| 发表于 2008-5-20 10:54:20 | 显示全部楼层
新的一天,新的发现!
用OLDJIANG传授我的方法,大概都知道向非法IP传数据的程序,奇怪的是,那些程序有Q,RFYPROXY,卡巴,等常见的程序!我自己的机器也有这情况,开机--马上开科来,CMD,任务管理器.起初是没什么发现的!但我的QQ一登陆成功,马上就有类似的非法IP连接出现了!
其他机器情况都差不多!TCP80端口,同步包.我机器钢材与非法IP通讯的端口是1032!
郁闷,大家有意见尽管说说!
回复

使用道具 举报

pxj80131415
发表于 2008-5-23 19:09:44 | 显示全部楼层
解决了吗,想学习下....
回复

使用道具 举报

地球超人
发表于 2008-5-26 11:56:43 | 显示全部楼层
灵异是什么啊?
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表