V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
jzy
V2EX  ›  问与答

请问一个奇怪的 arp 欺骗问题

  •  
  •   jzy · 2017-05-10 10:49:55 +08:00 · 2485 次点击
    这是一个创建于 2753 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我们内网有一台机器 A,间歇性地往外发 ARP 欺骗包,造成别人断网。于是我们将那台机器的系统重装了,但是问题依旧,使用 360、卡巴斯基全盘扫描,都没有查出什么病毒,这令人很困。

    有问题的机器 IP 是:10.33.116.230,MAC 是 C0:3F:D5:03:1F:E2,通过抓包,发现异常数据包是三个一组,大概频繁发几分钟。截图如下:




    以上三张图是一组。 通过查询资料,知道这是免费 ARP 包,根据我对这几个数据包的理解,每次都是这样:1、机器 A ( IP 是 116.230 )广播一个免费 ARP 包声明自己的 IP 是 116.245 (实际上有 116.245 这台设备); 2、然后机器 A 又以 116.1 (网关)的身份询问谁是 116.245 ; 3、重复第一步。

    然后我们给机器 A 打开了 360 的流量防火墙,查看里面的内网防护,发现有 ARP 欺骗日志,但是日志内容显示机器 A ( C0:3F:D5:03:1F:E2 )冒充自己是 116.1 (网关)。

    前面也已经指出这台机器经过重装和杀毒,没有发现什么异常,这让我非常的困惑。猜测可能有什么隐藏的比较深的病毒?

    请各位解惑,万分感谢!

    13 条回复    2017-05-10 13:01:52 +08:00
    rexxtem07
        1
    rexxtem07  
       2017-05-10 11:09:14 +08:00 via iPhone   ❤️ 1
    可能是其它机器伪造 A 的 ip 来发包
    webjin1
        2
    webjin1  
       2017-05-10 11:09:17 +08:00 via Android   ❤️ 1
    主板被别人刷过吗?主板病毒。
    jzy
        3
    jzy  
    OP
       2017-05-10 11:14:26 +08:00
    @rexxtem07 @webjin1

    感谢回复,我试过将机器 A 断网,并抓包,没有出现异常包,这基本可以排除是其它机器伪造的可能。

    我们主机都是统一管理,机器使用人也非技术人员,排除主动刷主板的可能。有什么办法可以检测吗?
    rexxtem07
        4
    rexxtem07  
       2017-05-10 11:28:54 +08:00 via iPhone
    @jzy
    有没有可能是病毒在伪造 ip 前先 ping 一下的呢?
    jzy
        5
    jzy  
    OP
       2017-05-10 11:49:19 +08:00 via iPhone
    @rexxtem07 这样似乎演变成主动攻击而不是病毒行为了?不知道有什么办法侦查
    kruskal
        6
    kruskal  
       2017-05-10 12:08:38 +08:00 via Android   ❤️ 1
    有没有可能是 UEFI 病毒?刷最新版本的 bios 试试看。
    trepwq
        7
    trepwq  
       2017-05-10 12:10:57 +08:00 via iPhone   ❤️ 1
    怎么装的系统? ghost 吗,从官方 iso 安装试试
    jingniao
        8
    jingniao  
       2017-05-10 12:17:46 +08:00 via Android   ❤️ 1
    非安全人员,脑洞大开,换 linux
    另外就是重装 win 不干净,我记得一种激活是模拟 bios 的,有时候重装都清理不掉这个激活
    xfspace
        9
    xfspace  
       2017-05-10 12:18:26 +08:00 via Android   ❤️ 1
    跑个 Linux Livecd 看看会不会这样
    jzy
        10
    jzy  
    OP
       2017-05-10 12:39:27 +08:00 via iPhone
    感谢楼上回复,决定尝试刷 bios,和 livecd 看看
    cmlz
        11
    cmlz  
       2017-05-10 12:42:55 +08:00   ❤️ 1
    直接 U 盘启动 PE 测试不就行了?
    jzy
        12
    jzy  
    OP
       2017-05-10 12:44:10 +08:00 via iPhone
    @cmlz 嗯,也是可以测试的
    zuk
        13
    zuk  
       2017-05-10 13:01:52 +08:00 via iPhone
    在主机绑定一个静态 arp 映射,临时解决,之前我们在内网发现又个这样的问题,后来网络的查了发现是思科交换机还是防火墙有 bug
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2442 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 01:16 · PVG 09:16 · LAX 17:16 · JFK 20:16
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.