dajun 发表于 2005-1-15 03:19:23

我用局域网的一台LINUX客户机PING RouteOS路由的结果如下:(注:192.168.0.211是RouteOS的内部IP地址)# ping 192.168.0.211PING 192.168.0.211 (192.168.0.211) 56(84) bytes of data.From 192.168.0.5: icmp_seq=1 Redirect Host(New nexthop: 192.168.0.211)64 bytes from 192.168.0.211: icmp_seq=1 ttl=63 time=0.505 msFrom 192.168.0.5: icmp_seq=2 Redirect Host(New nexthop: 192.168.0.211)64 bytes from 192.168.0.211: icmp_seq=2 ttl=63 time=0.488 msFrom 192.168.0.5: icmp_seq=3 Redirect Host(New nexthop: 192.168.0.211)64 bytes from 192.168.0.211: icmp_seq=3 ttl=63 time=0.534 msFrom 192.168.0.5: icmp_seq=4 Redirect Host(New nexthop: 192.168.0.211)64 bytes from 192.168.0.211: icmp_seq=4 ttl=63 time=0.607 msFrom 192.168.0.5: icmp_seq=5 Redirect Host(New nexthop: 192.168.0.211)64 bytes from 192.168.0.211: icmp_seq=5 ttl=63 time=0.497 ms--- 192.168.0.211 ping statistics ---9 packets transmitted, 9 received, 0% packet loss, time 7996msrtt min/avg/max/mdev = 0.488/0.551/0.682/0.078 ms(注:路由器已经进行了IP与MAC绑定,路由器内部网卡已设置arp=reply-only)现在的状况是,过十几分钟一掉线。而且掉线的时间仅十几秒又能自动连接上。我用RouteOS两个月以来还是第一次出现这种情况。我怀疑是病毒在作怪;因为上面的TTL=63明显不对,ping值是从192.168.0.5这台机器上回应的。我找到192.168.0.5那台机器。然后把它关机,这时下面的所有客户机都同时掉线。大约30秒钟后ping 192.168.0.211 恢复正常TTL=64大家能帮我分析一下吗?有什么办法可以防止这种情况的再次发生。谢谢!!

easehu 发表于 2005-1-15 10:16:20

QUOTE (dajun @ Jan 15 2005, 03:19 AM)
我用局域网的一台LINUX客户机PING RouteOS路由的结果如下:(注:192.168.0.211是RouteOS的内部IP地址)# ping 192.168.0.211PING 192.168.0.211 (192.168.0.211) 56(84) bytes of data.From 192.168.0.5: icmp_seq=1 Redirect Host(New nexthop: 192.168.0.211)64 bytes from 192.168.0.211: icmp_seq=1 ttl=63 time=0.505 msFrom 192.168.0.5: icmp_seq=2 Redirect Host(New nexthop: 192.168.0.211)64 bytes from 192.168.0.211: icmp_seq=2 ttl=63 time=0.488 msFrom 192.168.0.5: icmp_seq=3 Redirect Host(New nexthop: 192.168.0.211)64 bytes from 192.168.0.211: icmp_seq=3 ttl=63 time=0.534 msFrom 192.168.0.5: icmp_seq=4 Redirect Host(New nexthop: 192.168.0.211)64 bytes from 192.168.0.211: icmp_seq=4 ttl=63 time=0.607 msFrom 192.168.0.5: icmp_seq=5 Redirect Host(New nexthop: 192.168.0.211)64 bytes from 192.168.0.211: icmp_seq=5 ttl=63 time=0.497 ms--- 192.168.0.211 ping statistics ---9 packets transmitted, 9 received, 0% packet loss, time 7996msrtt min/avg/max/mdev = 0.488/0.551/0.682/0.078 ms(注:路由器已经进行了IP与MAC绑定,路由器内部网卡已设置arp=reply-only)现在的状况是,过十几分钟一掉线。而且掉线的时间仅十几秒又能自动连接上。我用RouteOS两个月以来还是第一次出现这种情况。我怀疑是病毒在作怪;因为上面的TTL=63明显不对,ping值是从192.168.0.5这台机器上回应的。我找到192.168.0.5那台机器。然后把它关机,这时下面的所有客户机都同时掉线。大约30秒钟后ping 192.168.0.211 恢复正常TTL=64大家能帮我分析一下吗?有什么办法可以防止这种情况的再次发生。谢谢!!
从你描述的情况看,好像是你的内网有监听的计算机。用扫描软件看看,你的内网有没有混合型的网卡。

DreamCat 发表于 2005-1-15 10:41:13

TTL 变化?不太理解。或者存在另一条路由?估计还是 ARP 的问题。你先找出那个有问题的MAC。

dajun 发表于 2005-1-16 00:57:25

QUOTE (哈啤猫 @ Jan 15 2005, 10:41 AM)
TTL 变化?不太理解。或者存在另一条路由?估计还是 ARP 的问题。你先找出那个有问题的MAC。
确实存在另一条路由,我当时我用tracert 跟踪外部网关。经过的第一条路由就是192.168.0.5那台机器。到现在我还没有查清具体是什么原因造成的。这个问题不是偶然的。我做几台这样的RouteOS路由;现在有两个不同的地方的RoutsOS都出现过这种情况了。也是掉线后几秒就能上去。当时我怀疑是路由做的有问题。重做以后还是出现这种情况,不是太频繁。后来掉线后跟踪和ping了一下才知道,多了一个路由。路由上的IP和MAC已绑定,内部网关网卡设为arp=reply-only 出现上面这种情况时,我登录RouteOS路由ping下面的win2000客户机ttl=127。我在把客户机IP改成网关都不能把路由顶掉线。还有就算是arp欺骗,192.168.0.5这台机器又怎么会转发数据呢?不明白??

DreamCat 发表于 2005-1-16 12:46:05

不清楚你网络内有几个路由,你最好先检查下客户机的路由表,没道理那么变化的。

easehu 发表于 2005-1-16 17:39:02

QUOTE (dajun @ Jan 16 2005, 12:57 AM)
还有就算是arp欺骗,192.168.0.5这台机器又怎么会转发数据呢?不明白??
我觉得这个和我以前读到的黑客教程里的原理差不多,ROUTEPC 这个是普通的通讯如果有监听的计算机就会像这样ROUTEHACK(ARP)PC 所有包都经过 HACK 机重新转发,这样就能监测网络上的机器发的数据包了。

DreamCat 发表于 2005-1-16 18:17:02

我有点担心他网络内的路由表不正常。

心想事成 发表于 2005-1-16 18:25:07

QUOTE (easehu @ Jan 16 2005, 05:39 PM)


QUOTE (dajun @ Jan 16 2005, 12:57 AM)
还有就算是arp欺骗,192.168.0.5这台机器又怎么会转发数据呢?不明白??
我觉得这个和我以前读到的黑客教程里的原理差不多,ROUTEPC 这个是普通的通讯如果有监听的计算机就会像这样ROUTEHACK(ARP)PC 所有包都经过 HACK 机重新转发,这样就能监测网络上的机器发的数据包了。
我也赞同以上观点!

dajun 发表于 2005-1-16 21:55:01

首先,谢谢各位热心的答复!请问一下wsgtrsys大哥?我如果把现在的路由换RedHat装上send-arp这个程序。能不能防这各现象的再次发生呢?
页: [1]
查看完整版本: 猫猫能帮我一下吗?