请问一个奇怪的 arp 欺骗问题

2017-05-10 10:49:55 +08:00
 jzy

我们内网有一台机器 A,间歇性地往外发 ARP 欺骗包,造成别人断网。于是我们将那台机器的系统重装了,但是问题依旧,使用 360、卡巴斯基全盘扫描,都没有查出什么病毒,这令人很困。

有问题的机器 IP 是:10.33.116.230,MAC 是 C0:3F:D5:03:1F:E2,通过抓包,发现异常数据包是三个一组,大概频繁发几分钟。截图如下:




以上三张图是一组。 通过查询资料,知道这是免费 ARP 包,根据我对这几个数据包的理解,每次都是这样:1、机器 A ( IP 是 116.230 )广播一个免费 ARP 包声明自己的 IP 是 116.245 (实际上有 116.245 这台设备); 2、然后机器 A 又以 116.1 (网关)的身份询问谁是 116.245 ; 3、重复第一步。

然后我们给机器 A 打开了 360 的流量防火墙,查看里面的内网防护,发现有 ARP 欺骗日志,但是日志内容显示机器 A ( C0:3F:D5:03:1F:E2 )冒充自己是 116.1 (网关)。

前面也已经指出这台机器经过重装和杀毒,没有发现什么异常,这让我非常的困惑。猜测可能有什么隐藏的比较深的病毒?

请各位解惑,万分感谢!

2526 次点击
所在节点    问与答
13 条回复
rexxtem07
2017-05-10 11:09:14 +08:00
可能是其它机器伪造 A 的 ip 来发包
webjin1
2017-05-10 11:09:17 +08:00
主板被别人刷过吗?主板病毒。
jzy
2017-05-10 11:14:26 +08:00
@rexxtem07 @webjin1

感谢回复,我试过将机器 A 断网,并抓包,没有出现异常包,这基本可以排除是其它机器伪造的可能。

我们主机都是统一管理,机器使用人也非技术人员,排除主动刷主板的可能。有什么办法可以检测吗?
rexxtem07
2017-05-10 11:28:54 +08:00
@jzy
有没有可能是病毒在伪造 ip 前先 ping 一下的呢?
jzy
2017-05-10 11:49:19 +08:00
@rexxtem07 这样似乎演变成主动攻击而不是病毒行为了?不知道有什么办法侦查
kruskal
2017-05-10 12:08:38 +08:00
有没有可能是 UEFI 病毒?刷最新版本的 bios 试试看。
trepwq
2017-05-10 12:10:57 +08:00
怎么装的系统? ghost 吗,从官方 iso 安装试试
jingniao
2017-05-10 12:17:46 +08:00
非安全人员,脑洞大开,换 linux
另外就是重装 win 不干净,我记得一种激活是模拟 bios 的,有时候重装都清理不掉这个激活
xfspace
2017-05-10 12:18:26 +08:00
跑个 Linux Livecd 看看会不会这样
jzy
2017-05-10 12:39:27 +08:00
感谢楼上回复,决定尝试刷 bios,和 livecd 看看
cmlz
2017-05-10 12:42:55 +08:00
直接 U 盘启动 PE 测试不就行了?
jzy
2017-05-10 12:44:10 +08:00
@cmlz 嗯,也是可以测试的
zuk
2017-05-10 13:01:52 +08:00
在主机绑定一个静态 arp 映射,临时解决,之前我们在内网发现又个这样的问题,后来网络的查了发现是思科交换机还是防火墙有 bug

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/360307

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX