特别的ARP病毒一次歼灭战

webjump

正在上网时，突然被网管告之，电影服务器打不开了。就在本机试了一下，第一次可以打开，第2次就打不开了，怀疑是ARP攻击。
查了一下ARP，没看出什么异常（实际上电影服务器的MAC地址已经被改了，平时也没记电影服务器的MAC地址，所以没看出来）。
到监控机上用ARPKiller，没查到异常，再用SnifferPro查流量，也没查到什么问题。正在一筹莫展的时候，再回到本机查看ARP时，呵呵，问题出来了。

多了2个MAC地址

10.0.22.3       11-22-33-44-55-66
192.168.1.25  00-0a-eb-9e-50-b1

11-22-33-44-55-66 应该是25号机伪造的，我用的是双IP，一个网卡上用2个IP地址。所以192.168.1.25也被拔出萝卜带出泥，一起被查出了。跑到25号机上，叫他重起一下电脑，问题解决。

**：这个ARP病毒很特别，3个服务器（电影，游戏，监控），都被改了，而且改的MAC地址都不一样，就象正常的一样，这就是我一开始没发现问题的原因。25号机的IP，MAC都被改了，如果不是看到192.168.1.25，根本就找不到是那一台机器，也就解决不了问题，这个病毒实在是厉害。

webjump

有谁知道，如果IP，MAC都改了，用什么方法可以查到那一台机器。

pengpeng55

原帖由 webjump 于 2006-7-13 16:09 发表
有谁知道，如果IP，MAC都改了，用什么方法可以查到那一台机器。

人工智能

风中的云

呵呵，用无线网可以查，用一个无线ap和一个tp的WA200无线ap让wa200工作在ap client的模式下，当无线网卡使用。它有个特点，会把所有经过他的上行的数据包mac改成它的mac这样就不会出现假的，可以用来测试。还有无线ap如果启用mac过滤，就算用无线网卡发假的数据包，ap也不会转发。还有无线网卡的驱动和平时的网卡有些不一样，qq第六感用普通的网卡发的包是假mac，但是我用tp的321G无线网卡它发出来的就是真的mac，所以用来测试还是可以的

analyst

原帖由 webjump 于 2006-7-13 16:09 发表
有谁知道，如果IP，MAC都改了，用什么方法可以查到那一台机器。

所有机器的mac做好记录。

webjump

机器MAC地址都做好记录的，关键是它把MAC地址都改成11-22-33-44-55-66了，怎么才能从网络中找到这台机器。

qinlulu3

想知道怎么查 顶上去

zhangying

如果交换机是网管交换机可以查看各个接口的MAC地址表

专卖精品

改成PPPOE拨号！

webjump

原帖由 专卖精品 于 2006-7-15 12:53 发表
改成PPPOE拨号！

PPPOE拨号是解决网关ARP欺骗的方法，这个病毒把内网的几台服务器的MAC都欺骗了。
除非你没有内网网段，所有的连接都通过PPPOE拨号连接，你是这样做的吗？