猫猫能帮我一下吗？

dajun

我用局域网的一台LINUX客户机PING RouteOS路由的结果如下：(注：192.168.0.211是RouteOS的内部IP地址）[root@SV root]# ping 192.168.0.211PING 192.168.0.211 (192.168.0.211) 56(84) bytes of data.From 192.168.0.5: icmp_seq=1 Redirect Host(New nexthop: 192.168.0.211)64 bytes from 192.168.0.211: icmp_seq=1 ttl=63 time=0.505 msFrom 192.168.0.5: icmp_seq=2 Redirect Host(New nexthop: 192.168.0.211)64 bytes from 192.168.0.211: icmp_seq=2 ttl=63 time=0.488 msFrom 192.168.0.5: icmp_seq=3 Redirect Host(New nexthop: 192.168.0.211)64 bytes from 192.168.0.211: icmp_seq=3 ttl=63 time=0.534 msFrom 192.168.0.5: icmp_seq=4 Redirect Host(New nexthop: 192.168.0.211)64 bytes from 192.168.0.211: icmp_seq=4 ttl=63 time=0.607 msFrom 192.168.0.5: icmp_seq=5 Redirect Host(New nexthop: 192.168.0.211)64 bytes from 192.168.0.211: icmp_seq=5 ttl=63 time=0.497 ms--- 192.168.0.211 ping statistics ---9 packets transmitted, 9 received, 0% packet loss, time 7996msrtt min/avg/max/mdev = 0.488/0.551/0.682/0.078 ms(注：路由器已经进行了IP与MAC绑定，路由器内部网卡已设置arp=reply-only)现在的状况是，过十几分钟一掉线。而且掉线的时间仅十几秒又能自动连接上。我用RouteOS两个月以来还是第一次出现这种情况。我怀疑是病毒在作怪；因为上面的TTL＝63明显不对，ping值是从192.168.0.5这台机器上回应的。我找到192.168.0.5那台机器。然后把它关机，这时下面的所有客户机都同时掉线。大约30秒钟后ping 192.168.0.211 恢复正常TTL=64大家能帮我分析一下吗？有什么办法可以防止这种情况的再次发生。谢谢！！

easehu

QUOTE (dajun @ Jan 15 2005, 03:19 AM)
我用局域网的一台LINUX客户机PING RouteOS路由的结果如下：(注：192.168.0.211是RouteOS的内部IP地址）[root@SV root]# ping 192.168.0.211PING 192.168.0.211 (192.168.0.211) 56(84) bytes of data.From 192.168.0.5: icmp_seq=1 Redirect Host(New nexthop: 192.168.0.211)64 bytes from 192.168.0.211: icmp_seq=1 ttl=63 time=0.505 msFrom 192.168.0.5: icmp_seq=2 Redirect Host(New nexthop: 192.168.0.211)64 bytes from 192.168.0.211: icmp_seq=2 ttl=63 time=0.488 msFrom 192.168.0.5: icmp_seq=3 Redirect Host(New nexthop: 192.168.0.211)64 bytes from 192.168.0.211: icmp_seq=3 ttl=63 time=0.534 msFrom 192.168.0.5: icmp_seq=4 Redirect Host(New nexthop: 192.168.0.211)64 bytes from 192.168.0.211: icmp_seq=4 ttl=63 time=0.607 msFrom 192.168.0.5: icmp_seq=5 Redirect Host(New nexthop: 192.168.0.211)64 bytes from 192.168.0.211: icmp_seq=5 ttl=63 time=0.497 ms--- 192.168.0.211 ping statistics ---9 packets transmitted, 9 received, 0% packet loss, time 7996msrtt min/avg/max/mdev = 0.488/0.551/0.682/0.078 ms(注：路由器已经进行了IP与MAC绑定，路由器内部网卡已设置arp=reply-only)现在的状况是，过十几分钟一掉线。而且掉线的时间仅十几秒又能自动连接上。我用RouteOS两个月以来还是第一次出现这种情况。我怀疑是病毒在作怪；因为上面的TTL＝63明显不对，ping值是从192.168.0.5这台机器上回应的。我找到192.168.0.5那台机器。然后把它关机，这时下面的所有客户机都同时掉线。大约30秒钟后ping 192.168.0.211 恢复正常TTL=64大家能帮我分析一下吗？有什么办法可以防止这种情况的再次发生。谢谢！！  
  从你描述的情况看，好像是你的内网有监听的计算机。用扫描软件看看，你的内网有没有混合型的网卡。

DreamCat

TTL 变化？不太理解。或者存在另一条路由？估计还是 ARP 的问题。你先找出那个有问题的MAC。

dajun

QUOTE (哈啤猫 @ Jan 15 2005, 10:41 AM)
TTL 变化？不太理解。或者存在另一条路由？估计还是 ARP 的问题。你先找出那个有问题的MAC。
确实存在另一条路由，我当时我用tracert 跟踪外部网关。经过的第一条路由就是192.168.0.5那台机器。到现在我还没有查清具体是什么原因造成的。这个问题不是偶然的。我做几台这样的RouteOS路由；现在有两个不同的地方的RoutsOS都出现过这种情况了。也是掉线后几秒就能上去。当时我怀疑是路由做的有问题。重做以后还是出现这种情况，不是太频繁。后来掉线后跟踪和ping了一下才知道，多了一个路由。路由上的IP和MAC已绑定，内部网关网卡设为arp=reply-only 出现上面这种情况时，我登录RouteOS路由ping下面的win2000客户机ttl=127。我在把客户机IP改成网关都不能把路由顶掉线。还有就算是arp欺骗，192.168.0.5这台机器又怎么会转发数据呢？不明白？？

DreamCat

不清楚你网络内有几个路由，你最好先检查下客户机的路由表，没道理那么变化的。

easehu

QUOTE (dajun @ Jan 16 2005, 12:57 AM)
还有就算是arp欺骗，192.168.0.5这台机器又怎么会转发数据呢？不明白？？  
  我觉得这个和我以前读到的黑客教程里的原理差不多，ROUTE  PC 这个是普通的通讯如果有监听的计算机就会像这样ROUTE  HACK（ARP）  PC 所有包都经过 HACK 机重新转发，这样就能监测网络上的机器发的数据包了。

DreamCat

我有点担心他网络内的路由表不正常。

心想事成

QUOTE (easehu @ Jan 16 2005, 05:39 PM)


QUOTE (dajun @ Jan 16 2005, 12:57 AM)
还有就算是arp欺骗，192.168.0.5这台机器又怎么会转发数据呢？不明白？？
我觉得这个和我以前读到的黑客教程里的原理差不多，ROUTE  PC 这个是普通的通讯如果有监听的计算机就会像这样ROUTE  HACK（ARP）  PC 所有包都经过 HACK 机重新转发，这样就能监测网络上的机器发的数据包了。  
  我也赞同以上观点！

dajun

首先，谢谢各位热心的答复！请问一下wsgtrsys大哥？我如果把现在的路由换RedHat装上send-arp这个程序。能不能防这各现象的再次发生呢？