Chinaunix

标题: 求助：arp缓存中mac地址莫名的被改变 [打印本页]

作者: zsgd 时间: 2006-06-08 00:28
标题: 求助：arp缓存中mac地址莫名的被改变
如下，本地网关是192.168.1.123,他的mac是00-e0-4c-e2-52-5d，但网络会突然断掉，这是ping网关是不通的，然后arp -a显示1.123的mac是192.168.1.123       00-e0-4c-db-2a-3f    dynamic是被替换过的，但停上几分钟后有可以ping通恢复正常，如下，求助各位老大，这个问题困扰了好久了，先谢谢了！！

C:\WINDOWS\system32>arp -a

Interface: 192.168.1.157 --- 0x10004
  Internet Address    Physical Address    Type
  192.168.1.55       00-05-5d-d8-d7-26    dynamic
  192.168.1.110       00-13-d3-19-14-60    dynamic
  192.168.1.123       00-e0-4c-db-2a-3f    dynamic

C:\WINDOWS\system32>arp -a

Interface: 192.168.1.157 --- 0x10004
  Internet Address    Physical Address    Type
  192.168.1.55       00-05-5d-e1-af-44    dynamic
  192.168.1.110       00-13-d3-19-14-60    dynamic
  192.168.1.123       00-e0-4c-e2-52-5d    dynamic
  192.168.1.245       4c-00-10-b3-1a-9b    dynamic

作者: bingosek 时间: 2006-06-08 01:27
1网上有另外一台计算机把ip设置成网关的IP
2arp攻击

作者: xiaoyi1982 时间: 2006-06-08 08:24
你上网关上arp -a是不是有好多IP都是对应的00-e0-4c-db-2a-3f,
估计多半都是这台机器中木马了,好像传奇木马就会这样,
我这都发生过好几次这种情况了.

作者: xiaoyi1982 时间: 2006-06-08 08:26
你可以在网关和客户机上都绑定IP-MAC

作者: zsgd 时间: 2006-06-08 11:01
02:50:03.256849 arp reply 192.168.1.123 is-at 00:e0:4c:db:2a:3f (oui Unknown)
02:50:03.258250 arp reply 192.168.1.123 is-at 00:e0:4c:db:2a:3f (oui Unknown)
02:50:03.860594 arp who-has 192.168.1.123 tell 192.168.1.110
02:50:03.860611 arp reply 192.168.1.123 is-at 00:e0:4c:e2:52:5d (oui Unknown)
02:50:04.256463 arp reply 192.168.1.123 is-at 00:e0:4c:db:2a:3f (oui Unknown)
02:50:04.258385 arp reply 192.168.1.123 is-at 00:e0:4c:db:2a:3f (oui Unknown)
02:50:04.262353 arp reply 192.168.1.123 is-at 00:e0:4c:db:2a:3f (oui Unknown)
02:50:05.279283 arp reply 192.168.1.123 is-at 00:e0:4c:db:2a:3f (oui Unknown)
02:50:05.287681 arp reply 192.168.1.123 is-at 00:e0:4c:db:2a:3f (oui Unknown)
02:50:05.291811 arp reply 192.168.1.123 is-at 00:e0:4c:db:2a:3f (oui Unknown)
02:50:06.314504 arp reply 192.168.1.123 is-at 00:e0:4c:db:2a:3f (oui Unknown)
02:50:06.322591 arp reply 192.168.1.123 is-at 00:e0:4c:db:2a:3f (oui Unknown)
02:50:06.325317 arp reply 192.168.1.123 is-at 00:e0:4c:db:2a:3f (oui Unknown)
02:50:07.341553 arp reply 192.168.1.123 is-at 00:e0:4c:db:2a:3f (oui Unknown)
02:50:07.350795 arp reply 192.168.1.123 is-at 00:e0:4c:db:2a:3f (oui Unknown)

上面，当1.110第一次请求回应的mac是对的，为什么以下的就被替换了，这是在网关上抓得包，谁能分析一下原因啊，谢谢了！！！

[ 本帖最后由 zsgd 于 2006-6-8 12:37 编辑 ]

作者: rainren 时间: 2006-06-08 11:18
anti-arp看看！

作者: bingosek 时间: 2006-06-08 12:11
用arp工具查查看,那些机器的网卡是在混杂模式下

作者: afdlove 时间: 2006-06-12 10:17
杀病毒。

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)