|
|
 |
|
|
| 1. 关于Sniffer:高手进来,希望能够帮助我! |
  |
|
 |
|
HP : 0 / 376
MP : 98 / 4480
EXP : 6%
|
|
名动江湖
成员等级: 16
发表总数: 295
金币总数: 674
所属组别: 中级成员
注册日期: 2004/12/13
|
我想问一下以下的问题:
1、那个源地址和目的地址都是0的,且LEN和ID也都为零的IP包是干什么的?
2、那个Sony C8966B发出的ARP广播,为什么Summary中显示ARP: PRO=0000( unknown),这个Unknown是表示什么呢?这个广播有什么用呢?正常吗?
3、那个解码页面中的第二例status中显示M以及#分别表示什么啊?
 |
下载附件 |
| test_cap.rar ( 下载次数: 21 ) |
|
|
|
|
| 2. Re: 关于Sniffer:高手进来,希望能够帮助我! |
|
|
|
|
|
HP : 0 / 376
MP : 98 / 4480
EXP : 6%
|
|
名动江湖
成员等级: 16
发表总数: 295
金币总数: 674
所属组别: 中级成员
注册日期: 2004/12/13
|
没有一个人知道???我不相信! |
|
|
|
| 3. Re:关于Sniffer:高手进来,希望能够帮助我! |
|
|
 |
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
这个数据包应该是病毒/木马做出来的,数据内容不正常,建议检查处理那台机器。
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 4. Re: Re:关于Sniffer:高手进来,希望能够帮助我! |
|
|
|
|
|
HP : 0 / 376
MP : 98 / 4480
EXP : 6%
|
|
名动江湖
成员等级: 16
发表总数: 295
金币总数: 674
所属组别: 中级成员
注册日期: 2004/12/13
|
应该不至于吧?我在我自己的电脑上捕获的,我的电脑应该没毒的啊。我查一下吧! |
|
|
|
| 5. RE: 关于Sniffer:高手进来,希望能够帮助我! |
|
|
|
|
|
HP : 0 / 376
MP : 98 / 4480
EXP : 6%
|
|
名动江湖
成员等级: 16
发表总数: 295
金币总数: 674
所属组别: 中级成员
注册日期: 2004/12/13
|
| QUOTE | | 这个数据包应该是病毒/木马做出来的,数据内容不正常,建议检查处理那台机器。 |
回复楼上建议。
1、使用了瑞星2006+最新病毒库查杀后,没有发现任何病毒。
2、使用了木马克星扫描,未发现任何木马程序。
究竟是怎么回事呢? |
|
|
|
| 6. Re:关于Sniffer:高手进来,希望能够帮助我! |
|
|
|
|
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
正常的ARP数据包的结构:
http://www.networksorcery.com/enp/protocol/arp.htm
如果没有病毒/木马那么有可能是网卡问题。
Sony C8966B...是你的PC吗?
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 7. RE: 关于Sniffer:高手进来,希望能够帮助我! |
|
|
|
|
|
HP : 0 / 376
MP : 98 / 4480
EXP : 6%
|
|
名动江湖
成员等级: 16
发表总数: 295
金币总数: 674
所属组别: 中级成员
注册日期: 2004/12/13
|
回复如下:
Sony C8966B不是我的网卡。同时,我使用了Net Tool X扫描了一下局域网,结果如下:
扫描范围:从 192.168.0.1 到 192.168.0.254
------------------------------
|-192.168.0.1: 00-09-05-30-00-30
|-192.168.0.2: 00-11-09-D7-B2-20
|-192.168.0.3: 00-11-09-D7-B2-20
|-192.168.0.4: 00-11-09-D7-B2-20
|-192.168.0.11: 00-0D-61-92-40-A8
|-192.168.0.32: 00-11-25-32-A6-4A
|-192.168.0.55: 00-E0-4C-84-D5-FC
|-192.168.0.101: 00-0D-61-00-00-23
|-192.168.0.103: 00-13-8F-6D-44-99
|-192.168.0.104: 00-02-3F-8F-C8-58
|-192.168.0.106: 00-0D-60-D0-83-01
|-192.168.0.107: 00-E0-4C-F0-03-33
|-192.168.0.111: 00-0D-60-FF-64-07
|-192.168.0.113: 00-0D-61-9F-FC-2C
|-192.168.0.155: 00-E0-4C-83-9F-69
|-192.168.0.201: 00-12-3F-F9-46-20
|-192.168.0.211: 00-11-09-FE-8E-77
|-192.168.0.215: 00-E0-4C-B2-AF-DC
------------------------------
MAC 地址扫描完成
可以看出来,这个MAC后半部分为C8966B的根本就没有,这下有点晕了。
还有啊,就是我不是捕获到了源地址和目的地址都为0的数据包吗?我设置过滤器,选择IP地址,然后设置为Exclude,在下面填上0.0.0.0<-->0.0.0.0,结果捕获到的数据包中还是有源地址和目的地址都为0的包,真是晕。那岂不是表示过滤没有起作用?? |
|
|
|
| 8. Re: Re:关于Sniffer:高手进来,希望能够帮助我! |
|
|
|
|
|
HP : 0 / 376
MP : 98 / 4480
EXP : 6%
|
|
名动江湖
成员等级: 16
发表总数: 295
金币总数: 674
所属组别: 中级成员
注册日期: 2004/12/13
|
果真如麦子所言,可能是我的网卡有问题了。我换了一台PC,然后再监测网络,就没有再出现这样的情况了。
我不明白的是,我的网卡可以正常上网的呀,怎么会出现这样的情况?这个所谓的网卡“坏了”又是指什么呢?还请高人跟进一下,谢谢!
还有最开始的那个第三个问题: 3、那个解码页面中的第二例status中显示M以及#分别表示什么啊?
还烦请老大们帮着解释一下,谢谢! |
|
|
|
| 9. Re:关于Sniffer:高手进来,希望能够帮助我! |
|
|
|
|
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
关于status 和M、#问题你贴个图吧...因为sniffer各个版本不一样。
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 10. RE: 关于Sniffer:高手进来,希望能够帮助我! |
|
|
|
|
|
HP : 0 / 376
MP : 98 / 4480
EXP : 6%
|
|
名动江湖
成员等级: 16
发表总数: 295
金币总数: 674
所属组别: 中级成员
注册日期: 2004/12/13
|
| QUOTE | | 关于status 和M、#问题你贴个图吧...因为sniffer各个版本不一样。 |
还有,就是我设置过滤器,选择IP地址,然后设置为Exclude,在下面填上0.0.0.0<-->0.0.0.0,结果捕获到的数据包中还是有源地址和目的地址都为0的包,真是晕。那岂不是表示过滤没有起作用??
至于#号和M号的图片,如下:
附带图片
附带图片
|
|
|
|
| 11. Re:关于Sniffer:高手进来,希望能够帮助我! |
|
|
|
|
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
M=该数据包已经加上了标记(默认第一个包自动加上标记)
#=该数据包表明存在一个问题/现象,如你贴的那个帧可以观察到Window Forzen现象.
以下是从F1 帮助信息里复制出来的,自己看一下:
Packet Status
For most network topologies, the Status column in the Summary pane is empty if the packet is normal with no errors, symptoms, or diagnoses associated with it. The exceptions to this rule are as follows:
?For data captured from a wireless LAN, the Status column indicates the wireless LAN channel from which the packet was captured inside brackets. For example, an entry of [1] in the Status column indicates that the corresponding packet was captured from wireless LAN channel number 1.
?For data captured from network pods (such as a SnifferBook Ultra) or a multi-ported adapter card (such as the Full Duplex Ethernet PCI card), the Status column indicates the port on the pod or card from which the data was captured inside brackets. For example, an entry of [A] in the Status column indicates that the corresponding packet was captured from Port A on the pod or card. This can be particularly useful when capturing from Packet over Sonet (PoS) networks since DCE and DTE indicators can change on the fly depending on the topology in use and where the SnifferBook is placed.
Otherwise, the following flags are used in the Status column of the Summary pane:
M Packet is marked. Mark a packet to return quickly to a particular spot in a decoded set of frames.
A Packet was captured from Port A on the pod or adapter card.
B Packet was captured from Port B on the pod or adapter card.
# Packet has a symptom or diagnosis associated with it.
Trigger Packet is an event filter trigger
CRC CRC error packet with normal packet size
Jabber CRC error packet with oversize error
Runt Packet size is less than 64 bytes (including the 4 CRC bytes) but with valid CRC
Fragment Packet size is less than 64 bytes (including the 4 CRC bytes) with CRC error
Oversize Packet size is more than 1518 (including the 4 CRC bytes) but with valid CRC
Collision Packet was damaged by a collision
Alignment Packet length is not an integer multiple of 8 bits.
Dup Address There is an address conflict in the Ring (Token Ring).
Frame Copy Packet is not copied (received) by the destination host (Token Ring).
Copyright ?Network General Corporation
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 12. Re: Re:关于Sniffer:高手进来,希望能够帮助我! |
|
|
|
|
|
HP : 0 / 376
MP : 98 / 4480
EXP : 6%
|
|
名动江湖
成员等级: 16
发表总数: 295
金币总数: 674
所属组别: 中级成员
注册日期: 2004/12/13
|
谢谢麦子,虽然有的问题并没有回答我,呵呵。 |
|
|
|
| 13. Re:关于Sniffer:高手进来,希望能够帮助我! |
|
|
|
|
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
你是说问题1吗? 那个数据包也是错误构造的,跟ARP包一样,并不合理。
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 14. RE: 关于Sniffer:高手进来,希望能够帮助我! |
|
|
|
|
|
HP : 0 / 376
MP : 98 / 4480
EXP : 6%
|
|
名动江湖
成员等级: 16
发表总数: 295
金币总数: 674
所属组别: 中级成员
注册日期: 2004/12/13
|
| QUOTE | | 你是说问题1吗? 那个数据包也是错误构造的,跟ARP包一样,并不合理。 |
不是呵。网卡硬件故障造成了问题1中的源地址和目的地址都是0的数据包的出现,这可以理解。
于是,我设置了过滤器,在其上面选择IP地址,然后选中Exclude,在下面填上0.0.0.0<-->0.0.0.0,我的想法是把这个全0的包给过滤掉。结果捕获到的数据包中,还是有源地址和目的地址都为0的包,那岂不是表示过滤没有起作用??
是不是说,这个过滤其实是无效的过滤,因为根本就不会出现这样的全0的数据包的情况,所以Sniffer对这个过滤的设置其实是没有生效的!是这样吗? |
|
|
|
| 15. Re:关于Sniffer:高手进来,希望能够帮助我! |
|
|
|
|
|
HP : 250 / 1254
MP : 1625 / 21993
EXP : 16%
|
|
迟则生变
成员等级: 51
发表总数: 4877
金币总数: 308
所属组别: 管理员
注册日期: 2003/01/9
|
过滤我用的挺好,你确定定义的是capture filter而不是display filter? 定义成exclude 0.0.0.0 <-> any 试试看?
没有谁能像一座孤岛/在大海里独踞/每个人都像一块小小的泥土/连接成整个陆地/如果一块泥土被海水冲去/欧洲将缺其一隅/这如同一座山岬/也如同你的朋友和你自己/无论谁死了/都是自己的一部分在死去/因为我包含在人类这个概念里/因此我从不问丧钟为谁而鸣/它为我,也为你
No man is an Island, entire of itself; every man is a piece of the Continent, a part of the main; if a clod be washed away by the sea, Europe is the less, as well as if a promontory were, as well as if a man or of thy friends or of thine own were; any man's death diminishes me, because I am involved in Mankind; And therefore never send to know for whom the bell tolls; It tolls for thee.
|
|
|
|
| 16. RE: 关于Sniffer:高手进来,希望能够帮助我! |
|
|
|
|
|
HP : 0 / 376
MP : 98 / 4480
EXP : 6%
| | |
