网吧ＡＲＰ攻击，一个可行查出机器的办法。

yuang128 · 发表于 2006-4-8 12:42:05

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

您需要登录才可以下载或查看，没有账号？注册

×

昨天一个朋友网吧说，最近几天老掉线，但重起中心交换机就好了，初期以为中心交换机有问题，呵呵，在超级终端上查，后来正好用超级终端联着路由，看ＣＰＵ使用率时，外场有客人叫掉线了，这时我在超级终端（用consol线联的）ping DNS 内网网关都正常，然后记下了内网网关的ＭＡＣ，然后用另一台机器ping 网关真是不通，但ping内网主机正常，初步怀疑是内网问题，这时在ping网关不通的机器上看arp表，发现网关的ＭＡＣ地址与我在超级终端上看到的ＭＡＣ不一样，记录下来，这时，心时一丝高兴，嘿嘿　，有戏了，由于没ＭＡＣ地址对应的ＩＰ表，只好重起中心交换机，然后网络正常，网上随便找了一个工具，可以将内网的ＩＰ与ＭＡＣ扫出来，然后保存出来，再用断网时的ＭＡＣ查出对应的ＩＰ，就知道是哪台机器了，捉出个小比样，拉到办公室一顿海扁。呵呵
下面说一下要点。

第一　正常时大家最好保存一份，内网的ＭＡＣ与ＩＰ地址对应表，（网关的ＭＡＣ最好心里记　　　　下）

第二　　在断网时，在断网机器上arp -a 看网关的ＭＡＣ是不是正确，

第三　　不正确，立刻查对应表查出机器，然后准备根棍子。

以上只是个人实践，如果有不对的，请朋友跟进

zhaiweiv · 发表于 2006-4-8 14:49:19

补充一下，用nbtscan工具可以查出局域网所有ip和 mac的对应

qwdn · 发表于 2006-4-8 22:45:11

学一招,看有没有用.
小区的机器怎么看?

ddr · 发表于 2006-4-8 23:09:48

光找到作怪的机器还不行。要治本。

显示全部楼层 · 发表于 2006-4-9 00:43:00

提示: 作者被禁止或删除内容自动屏蔽

yuang128 · 发表于 2006-4-9 09:47:24

呵呵，网吧里，这个方法最有效，收拾几个，下回就没人敢了

goodfellow · 发表于 2006-4-9 12:01:43

治标不治本.

-root · 发表于 2006-4-9 12:58:21

ARP不好治本的

can1314 · 发表于 2006-4-9 14:06:50

　　
　　ARP病毒目前的确是很多网吧的噩耗,大家所搜索到的解决办法一般是利用ARP监控的工具,查看出网吧哪个电脑中毒,然后去再做系统等.但是等你监控到的时间也许网吧就会掉线了.客户也走了,损失已经产生了.而更多的方式是介绍客户机与网关路由器绑定.
这样可以解决部分问题，但是依然无法彻底解决.
　　还有些是其他网吧恶意捣乱.如利用网络特工这样的工具,让网吧个别机器掉线.或者整个网吧都掉.全部显示IP冲突等.
　　利用QNO路由器,结合客户机的绑定,这样后即使用户使用网络特工也无法切断用户的网络

要了解详细情况请加ＱＱ１６０４５１７００

Hansxia · 发表于 2006-4-9 14:48:17

呵呵，说话口气像青岛小哥

zhanghui · 发表于 2006-4-9 18:11:56

还是不好解决，最近发现交换机的mac地址表也会乱掉，此时连ipx协议都不通了

superaka · 发表于 2006-4-11 18:39:28

原帖由 yuang128 于 2006-4-8 12:42 发表
昨天一个朋友网吧说，最近几天老掉线，但重起中心交换机就好了，初期以为中心交换机有问题，呵呵，在超级终端上查，后来正好用超级终端联着路由，看ＣＰＵ使用率时，外场有客人叫掉线了，这时我在超级终端（用con ...

一般情况下有用，但是如果捣乱的机器MAC也是假的，你怎么找？

你有中心交换机，看样子是3层的，最好的办法是端口监控，然后抓包分析，这样肯定就错不了了！

senye0119 · 发表于 2006-4-12 10:47:12

同意superaka的说法，但ARP欺骗的防范真的是太头痛了，网吧除外

账号		自动登录	找回密码
密码			注册

legou 该用户已被删除	发表于 2006-4-9 00:43:00 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
legou 该用户已被删除	routeros
	回复使用道具举报显身卡

[其它] 网吧ＡＲＰ攻击，一个可行查出机器的办法。

马上注册，结交更多好友，享用更多功能，让你轻松玩转社区。

回复 #1 yuang128 的帖子

回复 #1 yuang128 的帖子