我们内网有一台机器 A,间歇性地往外发 ARP 欺骗包,造成别人断网。于是我们将那台机器的系统重装了,但是问题依旧,使用 360、卡巴斯基全盘扫描,都没有查出什么病毒,这令人很困。
有问题的机器 IP 是:10.33.116.230,MAC 是 C0:3F:D5:03:1F:E2,通过抓包,发现异常数据包是三个一组,大概频繁发几分钟。截图如下:
以上三张图是一组。 通过查询资料,知道这是免费 ARP 包,根据我对这几个数据包的理解,每次都是这样:1、机器 A ( IP 是 116.230 )广播一个免费 ARP 包声明自己的 IP 是 116.245 (实际上有 116.245 这台设备); 2、然后机器 A 又以 116.1 (网关)的身份询问谁是 116.245 ; 3、重复第一步。
然后我们给机器 A 打开了 360 的流量防火墙,查看里面的内网防护,发现有 ARP 欺骗日志,但是日志内容显示机器 A ( C0:3F:D5:03:1F:E2 )冒充自己是 116.1 (网关)。
前面也已经指出这台机器经过重装和杀毒,没有发现什么异常,这让我非常的困惑。猜测可能有什么隐藏的比较深的病毒?
请各位解惑,万分感谢!
1
rexxtem07 2017-05-10 11:09:14 +08:00 via iPhone 1
可能是其它机器伪造 A 的 ip 来发包
|
2
webjin1 2017-05-10 11:09:17 +08:00 via Android 1
主板被别人刷过吗?主板病毒。
|
3
jzy OP |
6
kruskal 2017-05-10 12:08:38 +08:00 via Android 1
有没有可能是 UEFI 病毒?刷最新版本的 bios 试试看。
|
7
trepwq 2017-05-10 12:10:57 +08:00 via iPhone 1
怎么装的系统? ghost 吗,从官方 iso 安装试试
|
8
jingniao 2017-05-10 12:17:46 +08:00 via Android 1
非安全人员,脑洞大开,换 linux
另外就是重装 win 不干净,我记得一种激活是模拟 bios 的,有时候重装都清理不掉这个激活 |
9
xfspace 2017-05-10 12:18:26 +08:00 via Android 1
跑个 Linux Livecd 看看会不会这样
|
10
jzy OP 感谢楼上回复,决定尝试刷 bios,和 livecd 看看
|
11
cmlz 2017-05-10 12:42:55 +08:00 1
直接 U 盘启动 PE 测试不就行了?
|
13
zuk 2017-05-10 13:01:52 +08:00 via iPhone
在主机绑定一个静态 arp 映射,临时解决,之前我们在内网发现又个这样的问题,后来网络的查了发现是思科交换机还是防火墙有 bug
|