特别的ARP病毒一次歼灭战
正在上网时,突然被网管告之,电影服务器打不开了。就在本机试了一下,第一次可以打开,第2次就打不开了,怀疑是ARP攻击。查了一下ARP,没看出什么异常(实际上电影服务器的MAC地址已经被改了,平时也没记电影服务器的MAC地址,所以没看出来)。
到监控机上用ARPKiller,没查到异常,再用SnifferPro查流量,也没查到什么问题。正在一筹莫展的时候,再回到本机查看ARP时,呵呵,问题出来了。
多了2个MAC地址
10.0.22.3 11-22-33-44-55-66
192.168.1.2500-0a-eb-9e-50-b1
11-22-33-44-55-66 应该是25号机伪造的,我用的是双IP,一个网卡上用2个IP地址。所以192.168.1.25也被拔出萝卜带出泥,一起被查出了。跑到25号机上,叫他重起一下电脑,问题解决。
**:这个ARP病毒很特别,3个服务器(电影,游戏,监控),都被改了,而且改的MAC地址都不一样,就象正常的一样,这就是我一开始没发现问题的原因。25号机的IP,MAC都被改了,如果不是看到192.168.1.25,根本就找不到是那一台机器,也就解决不了问题,这个病毒实在是厉害。 有谁知道,如果IP,MAC都改了,用什么方法可以查到那一台机器。 原帖由 webjump 于 2006-7-13 16:09 发表
有谁知道,如果IP,MAC都改了,用什么方法可以查到那一台机器。
人工智能 呵呵,用无线网可以查,用一个无线ap和一个tp的WA200无线ap让wa200工作在ap client的模式下,当无线网卡使用。它有个特点,会把所有经过他的上行的数据包mac改成它的mac这样就不会出现假的,可以用来测试。还有无线ap如果启用mac过滤,就算用无线网卡发假的数据包,ap也不会转发。还有无线网卡的驱动和平时的网卡有些不一样,qq第六感用普通的网卡发的包是假mac,但是我用tp的321G无线网卡它发出来的就是真的mac,所以用来测试还是可以的 原帖由 webjump 于 2006-7-13 16:09 发表
有谁知道,如果IP,MAC都改了,用什么方法可以查到那一台机器。
所有机器的mac做好记录。 机器MAC地址都做好记录的,关键是它把MAC地址都改成11-22-33-44-55-66了,怎么才能从网络中找到这台机器。 想知道怎么查 顶上去
如果交换机是网管交换机可以查看各个接口的MAC地址表
如果交换机是网管交换机可以查看各个接口的MAC地址表 改成PPPOE拨号! 原帖由 专卖精品 于 2006-7-15 12:53 发表改成PPPOE拨号!
PPPOE拨号是解决网关ARP欺骗的方法,这个病毒把内网的几台服务器的MAC都欺骗了。
除非你没有内网网段,所有的连接都通过PPPOE拨号连接,你是这样做的吗?
页:
[1]