chyhc 发表于 2005-5-31 06:16:08

如题~~~!!!!谢谢啦~!

DreamCat 发表于 2005-5-31 14:49:34

换交换机。

cloudbaby 发表于 2005-5-31 20:58:26

我发几篇关于返回追踪的资料你用万方浏览器就可以打开!

cloudbaby 发表于 2005-5-31 20:59:59

第二篇!

cloudbaby 发表于 2005-5-31 21:01:22

第三篇

saka 发表于 2005-7-2 07:40:13

关掉路由器把一台NT内核的电脑IP改成网关IP,在控制台模式下输入arp -a

可以看到很多IP地址的MAC地址是相同的,然后用ARP -D删除所有ARP信息

再输入arp -a查看(一次没有刷出来信息可以多输入几遍),PING最先出来的

两三个IP地址能PING通就是它了,然后用NBTSTAT -an ip 就可以查到那台机子

的网络名称,关掉那台机子就OK了

zzyzzyboy 发表于 2005-7-14 11:35:55

关掉机器是不对的,看看用那台机器的小子在干什么,如果是在用木马偷帐号,关掉机器后还需要把那小子圈踢~然后送公安局网络稽查科

zy22 发表于 2005-7-14 13:36:20

你好``   我非常想了解下这篇文章`` 不知道老大能否重新发一次``
我这里看不到啊?

孜孜不倦 发表于 2005-9-3 15:23:27

我顶

sunjun1979 发表于 2005-9-11 00:36:35

可用SNIFF比较好查点

cnrouter 发表于 2005-10-9 16:50:10

1,2,3三个文件打不开呀.

jakyon 发表于 2005-10-12 21:10:52

支持6楼的想法

雨夜单飞 发表于 2005-11-7 15:44:07

用ARP -A查出哪个IP的MAC与网关的MAC一样,保证此计算机正常工作,不要断线,同时得出服务器以外的另一个不相干IP,用第二台计算机ARP -A,看是否也有同样的一个IP,一般来说就是这台了,保证此台机算机正常工作。查出原因,是否是木马或是人为,停止ARP广播。

这是一种简单的ARP攻击查找方法,应该是没问题的。

不管怎么样,ARP攻击都会有一台攻击方电脑是在不停的发ARP广播,用NETSTAT或ARP -A然后ARP -D再ARP -A(可能要多次),一般是可以找到来原的,但如果是ARP欺骗那就麻烦了。只能抓包,分析。

网上有人这么说过,不知道是不是对的。

7up13 发表于 2006-2-11 04:00:41

原帖由 雨夜单飞 于 2005-11-7 15:44 发表
用ARP -A查出哪个IP的MAC与网关的MAC一样,保证此计算机正常工作,不要断线,同时得出服务器以外的另一个不相干IP,用第二台计算机ARP -A,看是否也有同样的一个IP,一般来说就是这台了,保证此台机算机正常工作。 ...
如果用"网络剪刀手"的话,系可以虚拟网卡的,连MAC地址都是伪造的,哪!你如果知道攻击的来源呢?

scnz8088 发表于 2006-4-23 21:33:41

最好 提前备份整个ARP地址表单,出现问题时,通过对比ARP,很方便就查出重复的是哪台机器搞鬼了~!!
页: [1] 2
查看完整版本: 怎么样查找ARP攻击源?