用m0n0，网吧中了ARP。看图。

nj130

该怎么防，请问。

analyst

个人以为：arp问题，最好的解决方法就是购买带mac绑定的二层交换机。

如果实在不想买，在m0n0wall的lan口上关arp，再手工绑定各客户机mac，客户机上绑定网关的mac。

take2

以前刚用ＲＯＳ时就老是给人用ＡＲＰ攻击　后来在路由绑定网关　和客户机双重绑定后　就不会出现人家一该路由的网关的情况　但是如果人家用ＡＲＰ攻击工具攻击的关键主机的话　比如电影服务器　游戏服务器等　一样会造成客户机无法连接

nj130

原帖由 analyst 于 2006-3-20 12:06 发表
个人以为：arp问题，最好的解决方法就是购买带mac绑定的二层交换机。

如果实在不想买，在m0n0wall的lan口上关arp，再手工绑定各客户机mac，客户机上绑定网关的mac。

请问 “如果实在不想买，在m0n0wall的lan口上关arp”，这步怎么操作啊？

analyst

原帖由 nj130 于 2006-3-21 12:11 发表



请问 “如果实在不想买，在m0n0wall的lan口上关arp”，这步怎么操作啊？

exec.php里面输入ifconfig 网卡名 -arp
或者在xml里面加入段，语句一样。

[ 本帖最后由 analyst 于 2006-3-21 13:42 编辑 ]

abc2003

使用nbtscan把这台机器的真实ip找出来
00:04:61:a4:11:90
如果估计不错的话，木马名字是loadhw.exe

nj130

按斑竹的方法做了，已经2天没掉线了。

shellcode

我这里今天也是掉线呀...真是惨呀...

daobiao

楼主应该感到幸福  还只是内网的问题  最差还可以一台一台的关  你看看我
Apr 19 08:07:26 /kernel: arp: 218.200.128.129 moved from 00:e0:52:15:80:a0 to 00:0f:3d:80:45:5b on fxp1
Apr 19 08:07:53 /kernel: arp: 218.200.128.129 moved from 00:0f:3d:80:45:5b to 00:e0:52:15:80:a0 on fxp1
Apr 19 08:09:27 /kernel: arp: 218.200.128.129 moved from 00:e0:52:15:80:a0 to 00:0f:3d:80:45:5b on fxp1
Apr 19 08:09:51 /kernel: arp: 218.200.128.129 moved from 00:0f:3d:80:45:5b to 00:e0:52:15:80:a0 on fxp1


上面的ip是我的网关    这还叫人怎么活啊？？？？

analyst

原帖由 daobiao 于 2006-5-9 11:54 发表
楼主应该感到幸福  还只是内网的问题  最差还可以一台一台的关  你看看我
Apr 19 08:07:26 /kernel: arp: 218.200.128.129 moved from 00:e0:52:15:80:a0 to 00:0f:3d:80:45:5b on fxp1
Apr 19 08:07:53 /ker ...

感觉你的wan和lan接到同一台交换机上面了。

daobiao

原帖由 analyst 于 2006-5-9 13:20 发表



感觉你的wan和lan接到同一台交换机上面了。

没有   只是很多家网吧主机的线都接在同一台交换机(普通)上     我可以ping到隔壁网吧的 ip     
有网吧把主机给顾客上网用  着点病毒   所有网吧都跟着乐

w7866

你不会把服务器也帮定啊。动动脑子

simonaa

May 15 21:04:20 /kernel: arp: 192.168.5.200 moved from 00:d0:b7:08:dd:7f to 00:d0:b7:0f:ed:95 on fxp0
May 15 21:04:22 /kernel: arp: 192.168.5.200 moved from 00:d0:b7:0f:ed:95 to 00:d0:b7:08:dd:7f on fxp0
May 15 21:04:23 /kernel: arp: 192.168.5.200 moved from 00:d0:b7:08:dd:7f to 00:d0:b7:0f:ed:95 on fxp0
May 15 21:04:24 /kernel: arp: 192.168.5.200 moved from 00:d0:b7:0f:ed:95 to 00:d0:b7:08:dd:7f on fxp0
May 15 21:04:32 /kernel: arp: 192.168.5.200 moved from 00:d0:b7:08:dd:7f to 00:d0:b7:0f:ed:95 on fxp0
May 15 21:04:33 /kernel: arp: 192.168.5.200 moved from 00:d0:b7:0f:ed:95 to 00:d0:b7:08:dd:7f on fxp0
May 15 21:04:35 /kernel: arp: 192.168.5.200 moved from 00:d0:b7:08:dd:7f to 00:d0:b7:0f:ed:95 on fxp0
May 15 21:04:37 /kernel: arp: 192.168.5.200 moved from 00:d0:b7:0f:ed:95 to 00:d0:b7:08:dd:7f on fxp0
May 15 21:04:41 /kernel: arp: 192.168.5.200 moved from 00:d0:b7:08:dd:7f to 00:d0:b7:0f:ed:95 on fxp0
May 15 21:04:46 /kernel: arp: 192.168.5.200 moved from 00:d0:b7:0f:ed:95 to 00:d0:b7:08:dd:7f on fxp0
May 15 21:04:50 /kernel: arp: 192.168.5.200 moved from 00:d0:b7:08:dd:7f to 00:d0:b7:0f:ed:95 on fxp0
May 15 21:04:51 /kernel: arp: 192.168.5.200 moved from 00:d0:b7:0f:ed:95 to 00:d0:b7:08:dd:7f on fxp0
May 15 21:04:53 /kernel: arp: 192.168.5.200 moved from 00:d0:b7:08:dd:7f to 00:d0:b7:0f:ed:95 on fxp0
May 15 21:04:57 /kernel: arp: 192.168.5.200 moved from 00:d0:b7:0f:ed:95 to 00:d0:b7:08:dd:7f on fxp0



我也跟lz一样，刚看了最近300条日志，全是上面的，有人知道是什么回事吗？
我的网络是m0n0的wan接adsl,lan交换机，然后交换机分开两台机器用，刚看里面的日志的时候，另外一台电脑还没有开，所以跟另外一台没关系的