网吧感染最新病毒(不是ARP,但都是全部上不去网),大家进来看!

aniu117

我觉得换pppoe应该会好的，因为pppoe通讯时并不需要用arp，不存在arp欺骗。

miatniaojia

换三层交换机绝对是王道呀 嘿ING

heorong

我也郁闷,不知道和交换机有什么关系,交换机有 千兆以太网交换机   快速以太网交换机   atm交换机   10千兆以太网交换机   令牌环交换机   程控交换机   fddi交换机   专用分局交换机
    交换机是一种基于MAC（网卡的硬件地址）识别，能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC地址，并把其存放在内部地址表中，通过在数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址

seignior

原帖由 heorong 于 2006-10-21 23:59 发表
我也郁闷,不知道和交换机有什么关系,交换机有 千兆以太网交换机   快速以太网交换机   atm交换机   10千兆以太网交换机   令牌环交换机   程控交换机   fddi交换机   专用分局交换机

我们这里讨论的,仅仅是指以太网交换机,就像我们这里讨论协议,总不会有人拿ipx,appletalk出来说事吧?

    交换机是一种基于MAC（网卡的硬件地址）识别，能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC地址，并把其存放在内部地址表中，通过在数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址

没错,"学习"MAC地址,在那里学习呢?在通讯报文里,因为报文头部必定绑定源mac.交换机记录下来的mac地址又放在什么地方呢?在mac地址表,mac地址表又什么时候刷新呢?老化时间.
我们假设交换机有三个端口A,B,C,其中A端口接的就是客户机,B端口接的就是我们的"坏蛋",C端口接的就是ros.如果"坏蛋"在交换机mac地址表老化时间内,不停广播说,我就是rso,你说会有什么结果?结果就是交换机就会以为ros真的在B端口了.

zbhdpx

其实看了看上边的回贴,主要是贴子内容表达不严瑾造成的,其实大家心里边都是清楚的,我相信不明白的人总还是少数!

建议大家以后回贴子,发贴之前把自己回复的内容确认无误再发表,就不会这样争论下去了.

robbiely

解决的方法只有一个，想办法找出问题，而这种情况下用sniffer软件捕获网络中的数据包来**是最快最直观的解决方法了，如果存在问题，马上就可见分晓，不过我也来估计一下，楼主极有可能是arp病毒导致的。


“seignior” 说得不错，大家可以这样来想，病毒主机如果不停的进行arp广播，告诉其他机器网关主机的Mac地址是我，等它的广播速度大大超过真正的网关主机时，这时网内的 客户机的arp缓存里的关于到网关的arp表都是错误的了，他们访问外网时自然相病毒主机发送数据包，如果仅仅是arp广播风暴的话，所有主机都断网，如果是arp欺骗的话，所有主机的通信都通过第三方即病毒主机后才有被病毒主机转发给真正的网关出外网，这时候当然所有的数据都被病毒主机捕获，自然你的密码也被盗窃了 ，其实像这种原理现在有些地方的电信就在用，这样子电信即可知道你内网的主机有多少台，超过它的限制就弹出窗口要求你断开其他电脑，否则给你断网，说白了电信也就是使用了黑客手段达到目的。