某台主机被欺骗，需要截取什么样的包来分析？

huopin

我有台主机被局域网里的人黑了，现象就是ping丢包率超高。因为我不清楚哪台设备发的欺骗，我用端口镜像时，把我用的端口做成嗅探端口，源端口是其他全部端口，用ethereal来抓包，过滤条件什么样？arp？IP？

ssffzz1

抓包是解决方法，但解决这个问题不是最有效的方法。

取消镜像。
帖
arp -a
netstat -na
ipconfig /all

aredfox

推荐用whatsup或cacti等网络管理工具，监控交换机各端口的流量。

huopin

不懂，这几个我都看过N次了。133.72是被黑的机器,Linux。arp -d后，ping 192.168.133.72的第一个包是通的。

1. 
   
2. C:\Documents and Settings\Administrator>arp -a
   
3. 
   
4. Interface: 192.168.100.133 --- 0x10002
   
5.   Internet Address      Physical Address      Type
   
6.   192.168.133.70         00-0a-eb-50-e7-4c     dynamic
   
7.   192.168.133.72         00-1b-97-fd-43-f5     dynamic
   
8.   192.168.133.73         00-1c-25-5d-e9-ea     dynamic
   
9.   192.168.133.77         00-1b-24-70-87-b9     dynamic
   
10.   192.168.133.1        00-b0-d0-bc-80-45     dynamic
    
11. 
    
12. C:\Documents and Settings\Administrator>netstat -na
    
13. 
    
14. Active Connections
    
15. 
    
16.   Proto  Local Address          Foreign Address        State
    
17.   TCP    0.0.0.0:23             0.0.0.0:0              LISTENING
    
18.   TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
    
19.   TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
    
20.   TCP    0.0.0.0:1025           0.0.0.0:0              LISTENING
    
21.   TCP    0.0.0.0:1026           0.0.0.0:0              LISTENING
    
22.   TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING
    
23.   TCP    192.168.133.253:139     0.0.0.0:0              LISTENING
    
24.   TCP    192.168.133.253:139     192.168.133.63:1443     ESTABLISHED
    
25.   TCP    192.168.133.253:445     192.168.132.71:2416     ESTABLISHED
    
26.   TCP    192.168.133.253:1074    192.168.133.167:139     TIME_WAIT
    
27.   TCP    192.168.133.253:3389    192.168.133.70:1120     ESTABLISHED
    
28.   UDP    0.0.0.0:445            *:*
    
29.   UDP    0.0.0.0:500            *:*
    
30.   UDP    0.0.0.0:4500           *:*
    
31.   UDP    127.0.0.1:123          *:*
    
32.   UDP    127.0.0.1:1027         *:*
    
33.   UDP    127.0.0.1:1031         *:*
    
34.   UDP    127.0.0.1:1055         *:*
    
35.   UDP    192.168.100.133:123      *:*
    
36.   UDP    192.168.133.253:123     *:*
    
37.   UDP    192.168.133.253:137     *:*
    
38.   UDP    192.168.133.253:138     *:*
    
39. 
    
40. C:\Documents and Settings\Administrator>ipconfig/all
    
41. 
    
42. Windows IP Configuration
    
43. 
    
44.    Host Name . . . . . . . . . . . . : Test_server
    
45.    Primary Dns Suffix  . . . . . . . :
    
46.    Node Type . . . . . . . . . . . . : Unknown
    
47.    IP Routing Enabled. . . . . . . . : No
    
48.    WINS Proxy Enabled. . . . . . . . : No
    
49. 
    
50. Ethernet adapter 本地连接 2:
    
51. 
    
52.    Connection-specific DNS Suffix  . :
    
53.    Description . . . . . . . . . . . : D-Link DFE-530TX PCI Fast E
    
54. r (rev.C)
    
55.    Physical Address. . . . . . . . . : 00-13-46-8F-11-82
    
56.    DHCP Enabled. . . . . . . . . . . : No
    
57.    IP Address. . . . . . . . . . . . : 192.168.100.133
    
58.    Subnet Mask . . . . . . . . . . . : 255.255.255.0
    
59.    IP Address. . . . . . . . . . . . : 192.168.133.253
    
60.    Subnet Mask . . . . . . . . . . . : 255.255.255.0
    
61.    Default Gateway . . . . . . . . . : 192.168.133.1
    

复制代码

ssffzz1

192.168.133.72         00-1b-97-fd-43-f5     dynamic

检查一下133.72是否是这个MAC,


在133.72上也做同样的检查。

huopin

MAC地址已经对过不下1000遍了，肯定没错，我每次改MAC地址就会好一会。改MAC只是治标不治本的方法，我现在不改了，我知道谁干的，但我没证据。
发帖的时候我以为我可控制这台网络交换机，后来发现不对。也就是说，我现在只能连接到这台交换机，但无法修改配置。看看各位大侠有招么？

ssffzz1

中间交换机的MAC地址表对过了吗？

如果都对的话，说明你没有受到ARP欺骗。
至于ping 丢包那是另外的原因造成的。

huopin

我不敢说是一定是ARP欺骗，但我改了MAC就好是事实，现在是什么欺骗手段我还不清楚。arp -d后，源主机ping被黑的主机 的第一个包肯定是通的，之后源主机的数据包就大部分都不知去向，肯定的一点是没到被黑的主机，但还不是全不通，时不时的还通一个。所以丢包率一直没到99%，基本在98%以下。

[ 本帖最后由 huopin 于 2009-1-16 13:06 编辑 ]

buybuybuy

可以这样做 ！ 我的想法是这样的 你可以参考一下 ！
首先 先确定你被黑的那台机子是接交换机的哪个端口比如是2口 再随便找一个端口比如3口做抓包监控 ！

在3口上接的那台电脑上装上抓包工具 Wireshark （个人比较喜欢用，可以设置过滤条件）
monitor session 1 source interface GiX/2  (源口 为被黑的那台主机的端口）
monitor session 1 destination interface GiX/3 (为装上Wireshark  抓包工具电脑的那个端口）

那个规则 capture filter  里面有ARP 可以给你选择 ！
然后你 在 Wireshark  里面抓到 经过2口的那些数据的包 然后进行分析！

huopin

原帖由 ssffzz1 于 2009-1-15 15:56 发表
中间交换机的MAC地址表对过了吗？

如果都对的话，说明你没有受到ARP欺骗。
至于ping 丢包那是另外的原因造成的。

附网络结构图，和ethereal截包
图里的switch-b是所谓的“智能交换机”，跟傻瓜交换机只有一线之差。只能WEB管理，但无法绑定MAC,也无法查看MAC&IP绑定关系，指望不了太多。switch-b下的电脑ping Linux都一个模样。我对这个switch-b没有管理权，我知道是这个switch-b的管理员黑我的Linux，但我需要证据。

[ 本帖最后由 huopin 于 2009-1-19 18:57 编辑 ]