网站优化具体是怎么做的,网页网站怎么做的吗,如何免费制作自己的网站,北京做网做由于内网无法正常连接网关#xff0c;远程登陆网关已无法实现。因此一切操作均在网关服务器本地进行。3.1 在服务器本地端口抓包[rootRouted-Server tmp]# tcpdump -nn -i eth1 error.networktcpdump: listening on eth12749 packets received by filter0 packets…由于内网无法正常连接网关远程登陆网关已无法实现。因此一切操作均在网关服务器本地进行。3.1 在服务器本地端口抓包[rootRouted-Server tmp]# tcpdump -nn -i eth1 error.networktcpdump: listening on eth12749 packets received by filter0 packets dropped by kernel# 将通过eth1端口的包抓下来存为error.network文件3.2 将ARP包截取出来[rootRouted-Server tmp]# grep ‘arp’ error.network arp.virus[rootRouted-Server tmp]# ls -l arp.virus-rw-r--r-- 1 root root 6241 Oct 25 10:59 arp.virus# 将所有ARP包截取另存为文件3.3 分析ARP包[rootRouted-Server tmp]# vi arp.virus省略10:43:26.086278 arp reply 192.168.2.2 is-at 0:14:78:80:d9:e410:43:26.181051 arp reply 192.168.2.3 is-at 0:14:78:80:d9:e410:43:26.211026 arp reply 192.168.2.11 is-at 0:14:78:80:d9:e410:43:26.242212 arp reply 192.168.2.4 is-at 0:14:78:80:d9:e410:43:26.304441 arp reply 192.168.2.162 is-at 0:14:78:80:d9:e410:43:26.398826 arp reply 192.168.2.167 is-at 0:14:78:80:d9:e4省略# 问题出来了可以看到以上几个包括网关IP在内的IP地址都宣称其位于MAC地址# 为“00:14:78:80;d9:e4”的网卡3.4 查看网关(192.168.2.11)的MAC地址[rootRouted-Server tmp]# ifconfig eth1 |grep -A1 HWaddreth1 Link encap:Ethernet HWaddr 00:0A:EB:551:72inet addr:192.168.2.11 Bcast:192.168.2.255 Mask:255.255.255.0# 可以看到网关的MAC地址为“00:0A:EB:551:72”与上面arp-reply包不相符# 这里基本上可以份析出中毒的机器MAC地址为“00:14:78:80:d9:e4”3.5 准确定位中毒机器知道可能中毒机器的MAC地址对其定位应该不是件难事。对于小型的网络我们可以对每台机器的MAC地址进行查询但是对于大型网络机器台数超过200台的环境这样做并不是最高效的办法。由于使用DHCP这里我想到了DHCP的租约记录。在/var /lib/dhcp/dhcpd.leases记录中查找MAC地址对应的IP记录[rootRouted-Server tmp]# vi /var/lib/dhcp/dhcpd.leases~省略lease 192.168.2.161 {starts 3 2006/10/25 02:56:22;ends 2 2038/01/19 03:14:06;binding state active;next binding state free;hardware ethernet 00:14:78:80:d9:e4;uid \001\000\024x\200\331\344;client-hostname ABEAAF6E64884EB;}~省略# 在dhcpd.leases文件中我找到如上记录# 可以看出MAC地址为“00:14:78:80:d9:e4”的机器IP地址为192.168.2.161# 机器名为“ABEAAF6E64884EB”到这里中毒机器的机器名IP地址均已查出。阅读(1246) | 评论(0) | 转发(0) |
