iT邦幫忙

0

請問有一個ip一直發出255.255.255.255的封包

小弟在使用snort監測公司封包時 發現有一組dhcp的ip一直發送255.255.255.255封包 而且dhcp主機也一直使用arp問他是誰 和我們公司安裝資安艦隊有關嗎? 另外是否有高手可以教一下小弟如何從ip位址找到主機名稱?

msit iT邦高手 1 級 ‧ 2011-07-22 17:13:31 檢舉
一般有DHCP server應該就能夠知道那台主機,如果DHCP找不到,那就得看看自己有沒有Mac記錄與對照表了。
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
4
pisceseros
iT邦新手 3 級 ‧ 2011-07-25 14:20:19
最佳解答

我之前在某政府單位的宿舍住宿時,用WIRESHARE在抓網路封包時,發現有某一特定IP只要一上線,就會瘋狂發送ARP的廣播封包,造成整棟宿室的延遲的很高,所有需要realtime的連網都受到很大影響,後來問了相關人員,他提到之前有某些住宿生使用網路剪刀手在亂剪他人網路,而有些住宿生說他們有下載某程式來防止,後來才知道這個程式就是瘋狂發送ARP來解決,我覺得,當下最重要的就是先找出,這個IP到底是誰在用的,如果是某個同事的PC,就問他最近有沒有安裝什麼軟體,或是請資訊部門把電腦重灌吧!

8
Tony
iT邦高手 4 級 ‧ 2011-07-22 19:10:25

這是Broadcast(廣播封包), 每個網路都會有這個IP, 所以應是貴公司資安程式在"撈"資料。

tsaiwenho iT邦新手 5 級 ‧ 2011-07-27 23:50:51 檢舉

感謝大大幫忙

4
花輪
iT邦大師 1 級 ‧ 2011-07-23 21:56:37

tsaiwenho提到:
如何從ip位址找到主機名稱

"PING -a ip_address"

tsaiwenho iT邦新手 5 級 ‧ 2011-07-27 23:51:05 檢舉

感謝大大幫忙

原來PING指令可以這樣使用,感謝感謝

我要發表回答

立即登入回答