这是一个创建于 3083 天前的主题,其中的信息可能已经有所发展或是发生改变。
我们内网有一台机器 A,间歇性地往外发 ARP 欺骗包,造成别人断网。于是我们将那台机器的系统重装了,但是问题依旧,使用 360、卡巴斯基全盘扫描,都没有查出什么病毒,这令人很困。
有问题的机器 IP 是:10.33.116.230,MAC 是 C0:3F:D5:03:1F:E2,通过抓包,发现异常数据包是三个一组,大概频繁发几分钟。截图如下:
以上三张图是一组。 通过查询资料,知道这是免费 ARP 包,根据我对这几个数据包的理解,每次都是这样:1、机器 A ( IP 是 116.230 )广播一个免费 ARP 包声明自己的 IP 是 116.245 (实际上有 116.245 这台设备); 2、然后机器 A 又以 116.1 (网关)的身份询问谁是 116.245 ; 3、重复第一步。
然后我们给机器 A 打开了 360 的流量防火墙,查看里面的内网防护,发现有 ARP 欺骗日志,但是日志内容显示机器 A ( C0:3F:D5:03:1F:E2 )冒充自己是 116.1 (网关)。
前面也已经指出这台机器经过重装和杀毒,没有发现什么异常,这让我非常的困惑。猜测可能有什么隐藏的比较深的病毒?
请各位解惑,万分感谢!
 | 1 rexxtem07 2017-05-10 11:09:14 +08:00 via iPhone  1 可能是其它机器伪造 A 的 ip 来发包 |
 | 2 webjin1 2017-05-10 11:09:17 +08:00 via Android 1 主板被别人刷过吗?主板病毒。 |
 | 3 jzy OP |
 | 6 kruskal 2017-05-10 12:08:38 +08:00 via Android 1 有没有可能是 UEFI 病毒?刷最新版本的 bios 试试看。 |
 | 7 trepwq 2017-05-10 12:10:57 +08:00 via iPhone 1 怎么装的系统? ghost 吗,从官方 iso 安装试试 |
 | 8 jingniao 2017-05-10 12:17:46 +08:00 via Android 1 非安全人员,脑洞大开,换 linux 另外就是重装 win 不干净,我记得一种激活是模拟 bios 的,有时候重装都清理不掉这个激活 |
 | 9 xfspace 2017-05-10 12:18:26 +08:00 via Android 1 跑个 Linux Livecd 看看会不会这样 |
| 10 jzy OP 感谢楼上回复,决定尝试刷 bios,和 livecd 看看 |
 | 11 cmlz 2017-05-10 12:42:55 +08:00 1 直接 U 盘启动 PE 测试不就行了? |
 | 13 zuk nbsp; 2017-05-10 13:01:52 +08:00 via iPhone 在主机绑定一个静态 arp 映射,临时解决,之前我们在内网发现又个这样的问题,后来网络的查了发现是思科交换机还是防火墙有 bug |
Select Language