1   1  /  1  页   跳转

乱发数据包如何处理

收藏
hailong68
头像
社区嘉宾
  • 帖子:6654
  • 注册: 2001-10-14
  • 来自:
发表于: 2006-08-22 17:53 | 只看楼主 短消息 资料
字号: 1楼

乱发数据包如何处理

我这里有一台计算机爱乱发送ARP数据包到网络上的每台计算机上,用卡巴撕基和瑞星都没有木马和病毒,信息中心的网管说有ARP病毒,要求重新作机子,使用者不同意,让我处理,我一头雾水呀

附件附件:

下载次数:276
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-22 17:53:23
描述:
预览信息:EXIF信息



最后编辑2006-08-22 19:19:29
分享到:
gototop
 
塞门铁克
头像
锋芒艾服狮
  • 帖子:1285
  • 注册: 2005-01-30
  • 来自:江苏
发表于: 2006-08-22 18:07 | 短消息 资料
字号: 2楼

用防火墙禁止ARP访问网络..
gototop
 
我的疑问
头像
自信弱冠狮
  • 帖子:463
  • 注册: 2006-06-17
  • 来自:
发表于: 2006-08-22 18:13 | 短消息 资料
字号: 3楼

发送大量广播包,这样的数据不够全面。帮不上!
为什么那块网卡会大量发送广播包,有何目的?
它要告诉所有的人,我是什么MAC?目的何在?
首先确定000D9D。。。这个地址是否本身就是原来那个网卡的。
只有一卡网卡回应。
那台机子,在不断的扫描别人!
所以他应该是装了嗅探软件,或者是监控软件!
查看一下,里面安装的程序。或者扫描系统报告,看看是否有可疑的执行程序在运行。
gototop
 
hailong68
头像
社区嘉宾
  • 帖子:6654
  • 注册: 2001-10-14
  • 来自:
发表于: 2006-08-22 18:24 | 只看楼主 短消息 资料
字号: 4楼

这个MAC地址就是那个网卡的,我查了,没有安装可以软件,都是工作软件,不过有3721和百度的工具条,这些不会出问题的,奇怪的是那个办公室的人的计算机都有这样的问题(6台),前面有一台,我才处理好,昨天又有一台又犯这个毛病(就是这个MAC),现在同时还有三台也有症状,共计有四台在等着我处理,我头疼呀.
gototop
 
我的疑问
头像
自信弱冠狮
  • 帖子:463
  • 注册: 2006-06-17
  • 来自:
发表于: 2006-08-22 18:33 | 短消息 资料
字号: 5楼

我的想法是,第一:
arp攻击,一定要利用wincap.首先查找有无此程序的踪径。
第二,查找npf.sys
packet.dll
pthreadVC.dll
wpcap.dll
看有否这四个文件,他们都存放在哪里。

wincap是关键!
gototop
 
hailong68
头像
社区嘉宾
  • 帖子:6654
  • 注册: 2001-10-14
  • 来自:
发表于: 2006-08-22 19:18 | 只看楼主 短消息 资料
字号: 6楼

wincap在C:\system32\
npf.sys在C:\system32\drtvers
packet.dll在C:\system32\
pthreadVC.dll在C:\system32\
wpcap.dll在C:\system32\

都是今年4.4建立的文件
gototop
 
我的疑问
头像
自信弱冠狮
  • 帖子:463
  • 注册: 2006-06-17
  • 来自:
发表于: 2006-08-22 19:27 | 短消息 资料
字号: 7楼

在卸载程序那里卸载winpcap若有。
然后删除上面的所有文件!删除之间先备份。
以防系统出错时可以还原。
在一个正常的系统里是没有这些.dll程序的。
他们是运行ARP攻击的基本。
在删除之前看他们的属性跟权限。
属性是否为只读!
权限是否为everyone,针对NTFS而言。
你用任何办法都可以。就是防止这四个文件写入。不让他们工作就行了。
可在访问权限上下手!

所以从上面你的结果来看,你的系统并不是如你所说。没有任何问题!
只是你没有找到好的扫描,分析的方法跟工具。我的想法。
到底是什么生成了以上的.dll文件呢。这就是关键所有。
还是认真分析一下。肯定是有问题的。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT