Chinaunix

标题: 我这种情况是不是中ARP地址欺骗病毒？ [打印本页]

作者: llylin 时间: 2006-09-23 13:33
标题: 我这种情况是不是中ARP地址欺骗病毒？
今天早上一上班就有在反应不能收邮件，查一下发现网关Ping不通，以为是开机太久需要重启一下，重启之后一会还是不行，怀疑是中招了，但我的网关用的Linux系统，中毒可能性不大，查看记录，发现在有如下N多记录：

Sep 23 17:09:33 linux-gw kernel: martian source 192.168.1.2 from 157.34.10.232, on dev eth2
Sep 23 17:09:33 linux-gw kernel: ll header: 00:0e:0c:61:3a:6c:00:0a:e4:57:63:e3:08:00
Sep 23 17:09:38 linux-gw kernel: NET: 30401 messages suppressed.
Sep 23 17:09:38 linux-gw kernel: martian source 192.168.1.2 from 85.25.158.181, on dev eth2
Sep 23 17:09:38 linux-gw kernel: ll header: 00:0e:0c:61:3a:6c:00:0a:e4:57:63:e3:08:00
Sep 23 17:09:43 linux-gw kernel: NET: 30409 messages suppressed.
Sep 23 17:09:43 linux-gw kernel: martian source 192.168.1.2 from 231.92.177.30, on dev eth2
Sep 23 17:09:43 linux-gw kernel: ll header: 00:0e:0c:61:3a:6c:00:0a:e4:57:63:e3:08:00
Sep 23 17:09:48 linux-gw kernel: NET: 30256 messages suppressed.

问题应该出在这里，因为我根本没有使用192.168.1.0这个网段，而eth2接的是内网，应该是哪台客户机中招了，把eth2禁用又蹦出如下记录：

Sep 23 17:10:38 linux-gw kernel: martian source 192.168.1.2 from 192.168.9.2, on dev eth2
Sep 23 17:10:38 linux-gw kernel: ll header: 00:0e:0c:61:3a:6c:00:0a:e4:57:63:e3:08:00
Sep 23 17:10:43 linux-gw kernel: NET: 591 messages suppressed.
Sep 23 17:10:43 linux-gw kernel: martian source 192.168.1.2 from 192.168.9.2, on dev eth2
Sep 23 17:10:43 linux-gw kernel: ll header: 00:0e:0c:61:3a:6c:00:0a:e4:57:63:e3:08:00

看到这条记录心中暗喜，192.168.9.2是有使用的，找到这台机器先把网线拔掉，再把eth2开起来，等了一会，一切正常。再把192.168.9.2这台机器的网线接上，一会又蹦出类似第一段的记录，整个网关的所有网络又全断了。因为这台机器在分公司，现在我还没查出这台机器中了什么？最近有听说ARP地址欺骗病毒很流行，不知道像我这种情况是不是中了这种病毒，如果是，这种病毒是怎么传播的？要如何防犯？谢谢！

作者: tieren_1000 时间: 2006-09-23 16:40
可以搜一下arp地址欺骗的帖子,一般静态绑定可以有效解决.

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)