我6天前来北京入住了北京四环酒店，今天晚上上网就经常上不来，时断时续，到了后面就根本上不了了！我没有想太多，就打电话给总台，原来总台那边已经接到很多投诉电话了！他们的网络没有维护人员，都是靠服务商做的，这么晚，人家也过不来，所以，我也就只能自报奋勇了！前提是抹掉我3天房费，他们请示了经理，经理要我先解决，再谈！反正也没有多少钱，就玩玩吧！
我在商务中心接通了网络，DHCP自动分配给我了IP地址：192.168.1.29/24 网关：192.168.1.100 他们通过这台UNIX网关重定向数据到192.168.1.254（认证代理服务器），整个结构很接单，当时情况依旧没有好转。我在本地通过arp -a察看了一下ARP缓冲区内容列表，果然，问题在这里，我对网关的MAC地址稍微有点印象，因为之前网络需要认证，我们因为这个问题交涉了很久，当时认证服务器宕了，所以有印象，我感觉网关的MAC不对！于是，我开始在抓包。一分钟后，我就停止了，不用再抓了，我找到了“幕后黑手”。有一个192.168.1.195猛烈向网络上发送ARP Response数据包，向所有人宣布192.168.1.100的MAC地址，而这个MAC并不是真正的网关的MAC，而是192.168.1.195这台计算机的MAC，这样，上网的数据都跑到192.168.1.195上面去了，他做了“中间人”（和传奇盗号木马一样的原理），还好没有什么重要的数据，不过谁后面叫“我的邮箱密码被改了”、“我的BBS帐号密码被改了”，那就正常了，因为这些东西全部是明文传输，当然这个“中间人”可以一览无余了。定位到了问题点，剩下的就是找人了，这个酒店的认证系统可以方便的找到登记的用户计算机信息“不登记不能上网，需要分配帐号的”，后面就是他们经理去找人了，后来那位经理来到我的房间，说那个人不承认，说自己可能中病毒了。这个回答也不是没有道理。反正暂时也没有什么损失，那就算了！恢复网络通讯正常，我可以继续利用这难得的机会上网了！（平时实在没有时间上）

省了三天的房费，羡慕啊！

可能那家伙在用什么网络执法官之类的垃圾软件吧？

那个人使用ARP攻击类的工具。

最后到底因为是黑客呢？还是病毒？不了了之。楼主得了便宜了。

没事 就在哪里抓包。。。
强人啊！！

晕倒。。

呵呵 强人都抓包

我是做酒店的，我经常用AntiARP　来查ＡＲＰ　病毒　，很简单，一查到就直接封该房间的端口，废话不都说．心情不好的时候，客人问为什么，我还想骂他几句呢

无目的攻击性ARP，就算你拿Sniffer也查不到！除非物理线路上一个个排除。

现在常用的ARP攻击都是有目的性的，一般都是要做中间人劫持内网数据。如果ARP欺骗数据包的源MAC地址设成一个内网已经存在的计算机的MAC（被冤枉的），或者一个不存在的MAC，侦测要困难得多!

AntiARP只能查处基于ARP Response的ARP攻击，对于基于ARP Request的ARP攻击是不能发现并定位的。

我想酒店业应该是服务第一的行业吧，骂肯定不行的，除非这个酒店不想做好了，也不是科学的办法！

网络执法官实现不了上面的问题的，估计是中了毒，或者恶意攻击

晕倒。。您看得什么啊？

我估计多半是ARP病毒

抓包能抓到的

不管是基于Response的ARP攻击还是基于Request的ARP攻击，都是由数据包作为载体的，当然可以抓得到！

问题有二：

第一：如果你不明白这两种攻击方式的原理和数据包特征，特别是基于Request的ARP攻击（很多朋友可能还不知道基于Request的ARP数据包也可以构建欺骗攻击，这个要查看RFC文档就会明白了！），就算你有再好的抓包工具，也是一样找不到问题之所在；

第二：如果ARP欺骗攻击无目的性，源MAC也使用虚假的，那么，除了物理排除端口的方式，几乎没有很好的解决办法，特别在使用DHCP或者没有对网络中计算机MAC进行统计的网络里，查找攻击源头是非常困难的。

估计他中了arp病毒，特别能省估计1K大元，不赖

是吗？arp病毒，还没听说过

引用:

原帖由 赶快注册 于 2007-10-25 17:14 发表
是吗？arp病毒，还没听说过

您的回复 太经典了
多听说下 还是有好处的哦

预计中ARP病毒的可能性更大些!

最近ARP病毒还是蛮老火的啊