提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

检查是否内网真实存在源IP为公网IP的数据发出去

|

问题描述

如何检查是否内网真实存在源IP为公网IP的数据发出去

解决方案

确认网线没接反,仍然有公网IP的在线的时候就需要考虑是否内网有电脑中毒或者有特殊软件发一些篡改源IP的数据包了。需要通过抓包来分析:
1、先找到AC前面设备的IP,然后看AC上的ARP表获取前面设备的MAC地址
273235c10ec91accd4.png
2、问清楚客户内网有哪些网段,如果都是私网地址就可以开始抓包了。
3、抓包工具里选择高级抓包ether dst fe:fd:fe:01:4f:f0 and not src net 192.168.0.0/16 and not src net 10.0.0.0/8 and not src net 172.16.0.0/16
ether dst 代表目标MAC,意思是抓单向发出去的数据包
not src net代表源IP网段不包含
合在一起就是抓单向出去的数据包,源IP网段是非内网网段的数据包,如果这样抓有数据包,并且源IP是公网IP,说明内网确实是有这样的数据包,就是环境问题。
619285c10ece6b4431.png
水之蓝色 发表于 2020-9-29 15:57
  
学习了,对排查内网用户是否被篡改源IP地址很有帮助
新手626351 发表于 2021-9-7 09:10
  
感谢分享,学习了!!!!!!!!!!!!!!!
tianjt 发表于 2022-2-24 18:19
  
对排查内网用户是否被篡改源IP地址很有帮助
sangfor_0001 发表于 2022-11-16 09:14
  
对排查内网用户是否被篡改源IP地址很有帮助

我要分享
文档编号: 59039
作者: sangfor_2171
更新时间: 2018-12-12 19:12
适用版本: