我的mandriva老是ping本网段的机器，怎么回事？

youxiazhu · 发表于 2006-5-10 08:04:23

新安装的mandriva-2006，为了方便配置为无防火墙，可自从安装好以来，他老是向同一网段（92.168.3.255）的机器发ICMP包，这是怎么回事？

youxiazhu · 发表于 2006-5-10 09:34:48

由于在刚刚起到dm就出现这种情况，是不是那个服务在发广播？怎么查呀？

youxiazhu · 发表于 2006-5-10 17:15:01

我打开交互式防火墙和端口扫描检测，发现局域网在疯狂扫描我，在win下也装了防火墙，却没看到如此场景！
得到信息大概是：
*年*月*日 192.168.3.1 端口扫描（攻击类型） 7277（服务） edh0 udp
...

几乎本段的机器都在扫我，不太可能吧，另外服务是7277指的是什么？原来我以为是端口。

linky_fan · 发表于 2006-5-10 22:29:09

用top看一下运行的进程有没有异常?

youxiazhu · 发表于 2006-5-11 10:01:46

不好意思，我用过ps -e,也试了您说的top，可是那么多进程，我知道那个是异常？也看不出来那个发报了，要是有个sniffer就好了。

linky_fan · 发表于 2006-5-11 11:29:16

看看cpu占用率靠前的几个(建议不要在x下用, 避免一些x进程的干扰). sniffer的话可以试试tcpdump之类的东西

youxiazhu · 发表于 2006-5-11 13:57:07

搞了一个ethereal,很好用，一下子就查到是smb在发广播，使用的是NBNS协议。不能不用他，就这样吧。

youxiazhu · 发表于 2006-5-27 18:39:27

不对不对，我弄错了！smb确实有发广播，但并不是问题的根源，别人的瑞星防火墙还是查到我有icmp的广播，信息为：
时间                      动作             协议             地址
2006.5.27*       禁止             ICMP          192.168.3.31=>192.168.3.255
其中3.31是我，对方的是3.*（本段好几个人）

而且很有规律，每次攻击（瑞星认为是攻击，搞的同事对我挺有意见）的间隔都是1小时20分10秒，于是我在下一次攻击前后约1个小时内用ethereal再次抓包，将得到的信息粗略的分组：

"No.", "Time", "Source", "Destination", "Protocol", "Info"
1.................................
"3", "0.931852", "192.168.3.23", "Broadcast", "ARP", "Who has 192.168.3.31?  Tell 192.168.3.23"
"4", "0.931878", "192.168.3.31", "192.168.3.23", "ARP", "192.168.3.31 is at 00:11:2f:3b:61:da"
"5", "0.931886", "192.168.3.32", "Broadcast", "ARP", "Who has 192.168.3.31?  Tell 192.168.3.32"
"6", "0.931895", "192.168.3.31", "192.168.3.32", "ARP", "192.168.3.31 is at 00:11:2f:3b:61:da"
......还有很多，好像本段机器群起在找我

2.......................................
"42", "0.933127", "192.168.3.66", "192.168.3.31", "NBNS", "Name query response NB 192.168.3.66"
"43", "0.933157", "192.168.3.8", "192.168.3.31", "NBNS", "Name query response NB 192.168.3.8"
"44", "0.933184", "192.168.3.21", "192.168.3.31", "NBNS", "Name query response NB 192.168.3.21"
"45", "1.232920", "192.168.3.31", "192.168.3.255", "NBNS", "Name query NB *<00><00><00><00><00><00><00><00><00><00><00><00><00><00><00>"
"46", "1.233063", "192.168.3.23", "192.168.3.31", "NBNS", "Name query response NB 192.168.3.23"
..........还有很多，这段不知道他们在搞我什么

3...................
"75", "1.784961", "192.168.3.31", "192.168.3.0", "ICMP", "Echo (ping) request "
"76", "1.785191", "192.168.3.31", "192.168.3.4", "ICMP", "Echo (ping) request "
"77", "1.785265", "192.168.3.31", "192.168.3.7", "ICMP", "Echo (ping) request "
"78", "1.785299", "192.168.3.31", "192.168.3.8", "ICMP", "Echo (ping) request "
"79", "1.785328", "192.168.3.4", "192.168.3.31", "ICMP", "Echo (ping) reply "
"80", "1.785359", "192.168.3.31", "192.168.3.9", "ICMP", "Echo (ping) request "
.............还有很多，好像我在发彪，但我保证抓包时什么都没干！

4..........................
"88", "1.785752", "192.168.3.31", "Broadcast", "ARP", "Who has 192.168.3.1?  Tell 192.168.3.31"
"89", "1.785764", "192.168.3.31", "Broadcast", "ARP", "Who has 192.168.3.2?  Tell 192.168.3.31"
"90", "1.785775", "192.168.3.31", "Broadcast", "ARP", "Who has 192.168.3.3?  Tell 192.168.3.31"
"91", "1.785785", "192.168.3.31", "Broadcast", "ARP", "Who has 192.168.3.5?  Tell 192.168.3.31"
"92", "1.785799", "192.168.3.31", "Broadcast", "ARP", "Who has 192.168.3.6?  Tell 192.168.3.31"
"93", "1.785809", "192.168.3.31", "Broadcast", "ARP", "Who has 192.168.3.10?  Tell 192.168.3.31"
"94", "1.785825", "192.168.3.31", "Broadcast", "ARP", "Who has 192.168.3.11?  Tell 192.168.3.31"
.............还有很多，好像我在逐个反击，不过抓包以后马上arp -a，确实收获很多，但很快就没了
接下来还是反复的arp和icmp包,从0到254干个彻底，注意icmp包从0开始，arp包是1～254,正两遍

5......................还有一些包不知道有没有关系(2.5是DNS服务器)
"382", "2.183418", "192.168.3.31", "192.168.2.5", "DNS", "Standard query PTR 4.3.168.192.in-addr.arpa"
"383", "2.345096", "192.168.2.5", "192.168.3.31", "DNS", "Standard query response, No such name"
"384", "2.345404", "192.168.3.31", "192.168.2.5", "DNS", "Standard query PTR 7.3.168.192.in-addr.arpa"
"385", "2.517485", "192.168.2.5", "192.168.3.31", "DNS", "Standard query response, No such name"
"386", "2.517785", "192.168.3.31", "192.168.2.5", "DNS", "Standard query PTR 9.3.168.192.in-addr.arpa"
................还有一些，怎么没完没了反复交谈好几回呀？

最后抓到的是本网段所有活动主机对我的arp的回应，纷纷返回了mac

就是这些了，由于ethereal没有反应具体每个包的时刻（小时分秒），我也不知道是那个包触动了别人的瑞星防火墙。奇怪的是就算是我真的ping它，他那个瑞星都不报警，我看了一下，防火墙的级别都设为高，ip规则中也包括禁止ping入。
我又测试了一下天网,默认设置下，无法ping入,但没有每隔80分钟的那个问题。

好了，罗嗦半天，大家可不可以给小弟点指教？

mandrakechina · 发表于 2006-5-27 19:49:12

我认为可能是你没有为本机设定SMB主机名称所致。我对Samba的应用不太熟，但从日志的结果来看，过程应该是这样的：

Samba没有找到本机的主机名，于是就向局域网中的DHCP/DNS服务器寻求自动配置的NetBIOS主机名。但DNS服务器没有为该计算机配置主机名，所以就会向其它计算机询问本机的名字。

youxiazhu · 发表于 2006-5-28 08:05:04

但是我把samba服务已经停止了呀？

linky_fan · 发表于 2006-5-28 09:32:15

cron里面有什么东西?

youxiazhu · 发表于 2006-5-28 13:49:47

cron 里什么都没有，况且也已经关闭了呀

youxiazhu · 发表于 2006-5-29 13:11:02

终于找到了，原来就是lisa，他是干什么的？说是什么局域网管理服务，不是很明白，停止了他也没什么影响。

npcomet · 发表于 2006-5-29 13:42:36

恭喜

youxiazhu · 发表于 2006-5-29 17:20:39

见笑了，你们肯定早知道，就是不告诉我

		自动登录	找回密码
密码			注册