首页专题 - 实验 - 软件 - 管理 - 布线 - 方案 - 配置 - 问题 - 协议 - 下载 - 交换 - 路由 - 无线 - 安全 - 认证 - Cisco - 华为 - 网吧 - ADSL

Cisco及华为网络技术论坛 » Cisco技术 » 怀疑中了ARP病毒,如何找到带毒的那台机呢?

您是本帖第857位浏览者打印

[求助] 怀疑中了ARP病毒,如何找到带毒的那台机呢?

cljeff

学徒工

Rank: 1

帖子: 4
精华: 0
积分: 39
IP地址: 11 个

1^# 大中小发表于 2008-8-14 20:43 只看该作者

怀疑中了ARP病毒,如何找到带毒的那台机呢?

核心用的cisco4506
sh log出现的
Duplicate address 172.16.21.250 on Vlan21, sourced by 000f.e239.3469

C4506-A#sh mac-address-table address 000f.e239.3469
Unicast Entries
vlan mac address    type       protocols             port
-------+---------------+--------+---------------------+--------------------
  21 000f.e239.3469 dynamic ip                   GigabitEthernet2/6

C4506-A#sh cdp nei GigabitEthernet2/6
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
               S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone

Device ID          Local Intrfce       Holdtme Capability Platform Port ID

C4506-A#sh mac-address-table dynamic interface GigabitEthernet2/6
Unicast Entries
vlan mac address    type       protocols             port
-------+---------------+--------+---------------------+--------------------
1 000f.e226.2fd4 dynamic ip                   GigabitEthernet2/6
1 000f.e230.6d90 dynamic ip                   GigabitEthernet2/6
1 000f.e230.6ef2 dynamic ip                   GigabitEthernet2/6
1 000f.e230.7e01 dynamic ip                   GigabitEthernet2/6
7 000f.e239.3466 dynamic ip                   GigabitEthernet2/6
8 0016.eccb.8bc7 dynamic ip                   GigabitEthernet2/6
  21 0001.2e0e.049a dynamic ip                   GigabitEthernet2/6
  21 000f.e239.3469 dynamic ip                   GigabitEthernet2/6
  22 0001.2e09.2b98 dynamic ip                   GigabitEthernet2/6
  22 0001.2e09.6198 dynamic ip                   GigabitEthernet2/6
  22 0001.2e0e.04a6 dynamic ip                   GigabitEthernet2/6
  22 0001.2e0e.0fff dynamic ip                   GigabitEthernet2/6
  22 000f.e239.346a dynamic ip                   GigabitEthernet2/6
  23 0001.2e09.2b64 dynamic ip                   GigabitEthernet2/6
  23 0001.2e09.2c12 dynamic ip                   GigabitEthernet2/6
  23 0001.2e09.5036 dynamic ip                   GigabitEthernet2/6
  23 0001.2e0e.04c4 dynamic ip                   GigabitEthernet2/6
  23 0001.2e0e.0654 dynamic ip                   GigabitEthernet2/6
  23 0001.2e0e.067f dynamic ip                   GigabitEthernet2/6
  23 0001.2e0e.0da0 dynamic ip                   GigabitEthernet2/6

是否是中了ARP病毒?
怎么确认带毒的那台机呢?

搜索更多相关主题的帖子: ARP

TOP

1498cisco149

管理员

Rank: 9 Rank: 9 Rank: 9

帖子: 629
精华: 16
积分: 16240
IP地址: 2076 个

2^# 大中小发表于 2008-8-14 22:29 只看该作者

用sniffer来

TOP

wzy208413

学徒工

Rank: 1

帖子: 4
精华: 0
积分: 22
IP地址: 14 个

3^# 大中小发表于 2008-8-18 10:42 只看该作者

看不出来是否中病毒，请使用其它工具看看

TOP

l-i001

学徒工

Rank: 1

帖子: 8
精华: 0
积分: 48
IP地址: 22 个

4^# 大中小发表于 2008-8-19 08:14 只看该作者

ip地址冲突

1、arp病毒是伪装mac地址，不是伪装ip地址
2、从mac地址表中也看不出有1个ip地址对应多个mac地址的情况
3、Duplicate address 172.16.21.250 on Vlan21, sourced by 000f.e239.3469这句话翻译过来应该是什么呢？双重地址172.16.21.250 在 Vlan21，源自000f.e239.3469？谁给指点一下啊

TOP

charleyzhou

学徒工

Rank: 1

帖子: 15
精华: 0
积分: 177
IP地址: 17 个

5^# 大中小发表于 2008-8-19 08:44 只看该作者

使用SNIFFER吧，找到

TOP

vlan9chess

学徒工

Rank: 1

帖子: 8
精华: 0
积分: 30
IP地址: 14 个

6^# 大中小发表于 2008-8-19 09:21 只看该作者

sniffer 这个可以找到,

TOP

shooter82

学徒工

Rank: 1

帖子: 6
精华: 0
积分: 61
IP地址: 9 个

7^# 大中小发表于 2008-8-19 14:13 只看该作者

使用sniffer找

TOP

carroll

学徒工

Rank: 1

帖子: 2
精华: 0
积分: 8
IP地址: 4 个

8^# 大中小发表于 2008-8-19 16:21 只看该作者

中了毒的PC会上不去外网，但是它并不一定有毒，有毒的才能上外网呢。所以一定要做DAI，结合良好的杀毒软件系统，全面部署，立杆见影

TOP

springjingxin

版主

Rank: 7 Rank: 7 Rank: 7

帖子: 75
精华: 3
积分: 2368
IP地址: 1338 个

9^# 大中小发表于 2008-8-19 22:54 只看该作者

局域网下，一台PC安装个arp防火墙立马能找到哪台主机中病毒了。

TOP

老鼠妈妈

学徒工

Rank: 1

帖子: 3
精华: 0
积分: 28
IP地址: 12 个

10^# 大中小发表于 2008-8-20 09:37 只看该作者

（安易）防火墙认为你在机房或者笔记本里面装一个 iris工具，准备随时应付这种情况，arp攻击者有如下现象，

         1，在内网抓包工具，会看到有一个虚假的ip or 网关地址在不断地请求同一个网段内的所有机器的ip地址，数据包内容为：who is 21.32.3.1-254.
                  2，服务器里的网关地址不停地跟新到攻击者和正常网关上，造成时断时好。
         3，如果是huawei交换机会看到某一个冲突的mac出现的次数是在最多的，它就是攻击者。

TOP

‹‹ 上一主题 | 下一主题 ››