Chinaunix

标题: 局域网内部异常情况。请高手帮忙分析!! [打印本页]

作者: 我菜我怕谁 时间: 2005-05-25 09:40
标题: 局域网内部异常情况。请高手帮忙分析!!
最近局域网内有些异常。出现了一些莫名其妙的ip地址。我最开始以为始某些员工故意搞鬼，可是我用sniffer分析内网时候，发现这些莫名其妙地ip是不断变化的。而且每个异常的的ip都在联接一个不存在的ip如下：
我实际的网段ip：192.168.3.xxx.
异常ip:　
　　1.23.65.7 ----联接---->;134.22.12.0
2.0.53.104----联接----->;156.35.15.0
...
如上，而且这些ip有时会发生变化。不断增加。我开始怀疑有人攻进内网。可是俺的硬件防火墙只允许80,25,110进来，不能是攻进来了。我怀疑内网有病毒。
网内的错误包数量很大。请教各位高人，有没有这种病毒?如果谁有类似的经验，能不能指点我一二。谢谢！！！

作者: rjc 时间: 2005-05-25 13:24
标题: 局域网内部异常情况。请高手帮忙分析!!
查arp,看具体哪个机器

作者: 我菜我怕谁 时间: 2005-05-25 16:34
标题: 局域网内部异常情况。请高手帮忙分析!!
mac不是局域网的，我都查了。估计也被伪装了。

作者: gentoo 时间: 2005-05-25 19:58
标题: 局域网内部异常情况。请高手帮忙分析!!
是在gw查到的吗？交换机里应该有mac记录的。

作者: 双眼皮的猪 时间: 2005-05-25 19:59
标题: 局域网内部异常情况。请高手帮忙分析!!
你的中毒的机器默认网关是你的router吧...
在router上查看内网机器的连接,syn-sent过多的就可以判断是病毒了...

作者: 我菜我怕谁 时间: 2005-05-26 08:06
标题: 局域网内部异常情况。请高手帮忙分析!!
谢谢各位大侠的回答,我目前也感觉很奇怪,如果是病毒的话,那么他早就开几百个线程,将网络堵死,可是我发现这些ip联接一些不存在的ip,流量不是很大.这些都是我用sniffer查到的!我用的是软路由bbi,上面并没有显示这些ip.奇怪...

作者: fjingxu 时间: 2005-05-28 08:59
标题: 局域网内部异常情况。请高手帮忙分析!!
查看一下端口，看看连接都是那些应用。可能能看出一些端倪来。

作者: 我菜我怕谁 时间: 2005-05-30 13:25
标题: 局域网内部异常情况。请高手帮忙分析!!
谢谢,我试试.

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)