Перейти до

Странный Arp-трафик


drb

Рекомендованные сообщения

13:16:50.002142 arp who-has 192.168.0.1 tell 192.168.0.244

13:16:51.017804 arp who-has 192.168.0.1 tell 192.168.0.248

13:16:52.010659 arp who-has 192.168.0.1 tell 192.168.0.242

13:16:53.422773 arp who-has 192.168.0.1 tell 192.168.0.65

13:16:54.720158 arp who-has 192.168.0.1 tell 192.168.0.27

13:16:55.096462 arp who-has 192.168.0.1 tell 192.168.0.75

13:16:56.237181 arp who-has 192.168.0.1 (0:2:b3:2e:22:c2) tell 192.168.0.163

13:16:56.327976 arp who-has 192.168.0.1 tell 192.168.0.153

13:16:56.375383 arp who-has 192.168.0.1 tell 192.168.0.11

 

Среди обычного arp-трафика на шлюз 192.168.0.1 типа как

 

13:16:50.002142 arp who-has 192.168.0.1 tell 192.168.0.244

13:16:51.017804 arp who-has 192.168.0.1 tell 192.168.0.248

 

проскакивают вот такие строки

13:16:56.237181 arp who-has 192.168.0.1 (0:2:b3:2e:22:c2) tell 192.168.0.163

где после ІР в скобках МАС, причем МАС не поддельный на шлюзе действительно 0:2:b3:2e:22:c2.

 

Такой трафик идет с 2-3 IP, от остальных нормальный. Что это может значить? Не снифер ли?

Ссылка на сообщение
Поделиться на других сайтах

Вообще tcpdump пишет в скобках мак, если это мак твоей системы.

Чего не пишет во всех строчках - хз.

Добавь опцию -e в запуск tcpdump, чтобы можно было глядеть на мак адреса.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...