一个关于mac地址的问题

ntjxad · 发表于 2008-6-3 09:13:12

今天打开科来抓了一下包，发现一个问题，在按物理端点浏览下看mac地址一般都是一个地址一台电脑，但是出现了有几个mac地址下有两台计算机ip，用科来的mac地址扫描器一扫报：ip地址和mac地址各匹配一条记录。请问这是什么原因，是对方电脑中毒造成的，还是系统出了问题？请各位指点！

徐徐渐进 · 发表于 2008-6-3 09:36:39

手工绑定了多个IP地址，或者机器有问题，网关除外；
可把数据包发上来看看。

[ 本帖最后由徐徐渐进于 2008-6-3 09:40 编辑 ]

ntjxad · 发表于 2008-6-3 10:17:06

版主是指客户机可能有问题是吗？我也怀疑是否是中病毒了

另外交换机没有做任何地址绑定

ntjxad · 发表于 2008-6-3 10:43:15

另外，版主，不好意思，因为单位有些数据比较敏感，不方便防数据包上来，能否指点一下如何从数据包看可能存在的问题？谢谢

djw8844 · 发表于 2008-6-3 11:11:56

ip有没有在不同电脑换来换去啊

ntjxad · 发表于 2008-6-3 11:22:07

没有换过，都是每台电脑制定一个ip的，不允许更换

oldjiang · 发表于 2008-6-5 01:20:02

IP数据包有源mac、目标mac、源ip、目标ip，源ip出现在源mac下，目标ip出现在目标mac下。
一个非网关的mac出现多个ip，又没有dhcp，应该是不正常的。能否贴个图，有没有单向流量。
曾做过实验，将192.168.1.91的网关配置为192.168.1.40而非正确的网关，在40上抓包，其mac下有多个IP，首尾两个的箭头方向表明这是目标mac

查看第一、第三个IP的数据包

[ 本帖最后由 oldjiang 于 2008-6-5 08:22 编辑 ]

ntjxad · 发表于 2008-6-5 17:57:48

版主的意思是不是有可能是病毒更改了机器的网卡设置，造成ｍａｃ地址冲突？

我这里接连出现三台这样的电脑，其中一台重新安装系统后，故障消除，由于重装系统太繁琐了，所以在对另外两台查找原因，郁闷啊

oldjiang · 发表于 2008-6-5 21:59:49

1、1#是mac地址扫描器的截图。这个mac

，当前扫描对应的IP是21，以前扫描并保存在数据库中的IP是25，是这样吗？哪个IP是对的？
2、不敢说就是病毒，也可能是配置错误。
3、请帖一个像7#图1那样的图，我想看看包的流向。如果持续发包时间较长，可以跑过去看看是什么进程（netstat），如果只是偶尔发包，可以装一个能记录日志（时间、进程、协议、源、目标、端口）的防火墙比如McAfee Desktop Firewall v8.0，抓包跟日志对比也能知道是什么进程。

lgsh258 · 发表于 2008-6-13 05:13:18

提示: 作者被禁止或删除内容自动屏蔽

ntjxad · 发表于 2008-6-16 08:44:02

1、21是本机的ip，但是mac地址被改成了25机器的地址，所以有冲突了。
2、配置应该没有问题。

ntjxad · 发表于 2008-6-16 08:49:00

请教版主，发包机器的源端口不断变化，而目标端口不变，是否有办法确定发包进程？谢谢！

oldjiang · 发表于 2008-6-16 09:03:22

原帖由 ntjxad 于 2008-6-16 08:49 发表
请教版主，发包机器的源端口不断变化，而目标端口不变，是否有办法确定发包进程？谢谢！

有。在发包的机器上装一个McAfee Desktop Firewall v8.0，删除预定义的所有规则，自定义一条允许IP协议、源ANY到目标ANY的规则，如此不影响通讯。这个软件有日志，内容包括时间、进程、源IP和端口、目标IP和端口。发包的机器和抓包的机器校对一下时间。

oldjiang · 发表于 2008-6-16 09:15:18

原帖由 ntjxad 于 2008-6-16 08:44 发表
1、21是本机的ip，但是mac地址被改成了25机器的地址，所以有冲突了。
2、配置应该没有问题。

如果是思科的2950、2960 or higher 交换机，可以做两个测试，在接21机器的交换机端口：
1、配置switchport port-security，当这个端口收到多于一个（默认一个）的mac时，端口会errdisable，此时sh mac-address table 或sh port-security int f0/x可以看到多出来的mac地址。参考http://www.csna.cn/forum.php?mod=viewthread&tid=9239。
2、或者配置snmp trap，报告mac-address add/remove notification，需要syslog server。
根据以上两点，可以确定mac确实有变化。但变化的原因只能审问用户了。
单独镜像21机器接的交换机端口，抓包，HTTP日志，看mac变化时访问什么网站、下载什么东西。上网是病毒的最大来源。
用一键备份工具，恢复系统比较快。
应该有扫描的过程，不然怎么知道其他机器的mac呢？

[ 本帖最后由 oldjiang 于 2008-6-16 13:15 编辑 ]

ntjxad · 发表于 2008-6-19 08:29:55

谢谢版主回复！13#的内容我去试验一下，14#说的不是很明白，但是我用的是迈普的交换和路由

oldjiang · 发表于 2008-6-19 08:45:53

1、14#的意思是，有两台机器的mac地址经常变，疑似病毒造成，如果在交换机对这两个机器所接的端口做mac地址绑定（其他没问题的机器不绑定），当病毒发作的时候，端口就shutdown，不会影响网络和其他机器。迈普交换机的型号？有手册吗？14#说道syslog server，其实不需要，科来就能抓到snmp trap包。
2、11#说“21是本机的ip，但是mac地址被改成了25机器的地址，所以有冲突了”，你有没有抓到这样的包，源ip是21而源mac是25的mac？如果有的话，我觉得25机器访问网络会受影响，因为根据交换机mac地址表的原理，发给25机器的包，有一部分却发到了21机器。关于mac地址表，参考http://www.csna.cn/forum.php?mod=viewthread&tid=9340的2#。

[ 本帖最后由 oldjiang 于 2008-6-19 09:13 编辑 ]

lgsh258 lgsh258 当前离线积分 0 头像被屏蔽	发表于 2008-6-13 05:13:18 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
lgsh258 lgsh258 当前离线积分 0 头像被屏蔽
	回复使用道具举报

一个关于mac地址的问题

回复 15# 的帖子