.Xos796
今天早上一上班就有在反应不能收邮件,查一下发现网关Ping不通,以为是开机太久需要重启一下,重启之后一会还是不行,怀疑是中招了,但我的网关用的Linux系统,中毒可能性不大,查看记录,发现在有如下N多记录:
Sep 23 17:09:33 linux-gw kernel: martian source 192.168.1.2 from 157.34.10.232, on dev eth2
Sep 23 17:09:33 linux-gw kernel: ll header: 00:0e:0c:61:3a:6c:00:0a:e4:57:63:e3:08:00
Sep 23 17:09:38 linux-gw kernel: NET: 30401 messages suppressed.
Sep 23 17:09:38 linux-gw kernel: martian source 192.168.1.2 from 85.25.158.181, on dev eth2
Sep 23 17:09:38 linux-gw kernel: ll header: 00:0e:0c:61:3a:6c:00:0a:e4:57:63:e3:08:00
Sep 23 17:09:43 linux-gw kernel: NET: 30409 messages suppressed.
Sep 23 17:09:43 linux-gw kernel: martian source 192.168.1.2 from 231.92.177.30, on dev eth2
Sep 23 17:09:43 linux-gw kernel: ll header: 00:0e:0c:61:3a:6c:00:0a:e4:57:63:e3:08:00
Sep 23 17:09:48 linux-gw kernel: NET: 30256 messages suppressed.
问题应该出在这里,因为我根本没有使用192.168.1.0这个网段,而eth2接的是内网,应该是哪台客户机中招了,把eth2禁用又蹦出如下记录:
Sep 23 17:10:38 linux-gw kernel: martian source 192.168.1.2 from 192.168.9.2, on dev eth2 (www.dngz.net)为您排除一切电脑故障
Sep 23 17:10:38 linux-gw kernel: ll header: 00:0e:0c:61:3a:6c:00:0a:e4:57:63:e3:08:00
Sep 23 17:10:43 linux-gw kernel: NET: 591 messages suppressed.
Sep 23 17:10:43 linux-gw kernel: martian source 192.168.1.2 from 192.168.9.2, on dev eth2
Sep 23 17:10:43 linux-gw kernel: ll header: 00:0e:0c:61:3a:6c:00:0a:e4:57:63:e3:08:00
看到这条记录心中暗喜,192.168.9.2是有使用的,找到这台机器先把网线拔掉,再把eth2开起来,等了一会,一切正常。再把192.168.9.2这台机器的网线接上,一会又蹦出类似第一段的记录,整个网关的所有网络又全断了。因为这台机器在分公司,现在我还没查出这台机器中了什么?最近有听说ARP地址欺骗病毒很流行,不知道像我这种情况是不是中了这种病毒,如果是,这种病毒是怎么传播的?要如何防犯?谢谢!
http://search.qihoo.com/usearch.html?site=www.fcbu.com&kw=arp&ics=gbk&ocs=gbk&bbskw=&summary=1&stype=&count=30&fw=dz&SITEREFER=http://www.fcbu.com/bbs/&ustyle=1这里有楼主需要的文章,楼主基本上分析得不错。问题就出现在
00:0a:e4:57:63:e3这台计算机上。