当前位置：首页 → 问答吧 → 我的mandriva老是ping本网段的机器，怎么回事？

我的mandriva老是ping本网段的机器，怎么回事？

时间：2006-05-10

来源：互联网

新安装的mandriva-2006，为了方便配置为无防火墙，可自从安装好以来，他老是向同一网段（92.168.3.255）的机器发ICMP包，这是怎么回事？

由于在刚刚起到dm就出现这种情况，是不是那个服务在发广播？怎么查呀？

作者: youxiazhu 发布时间: 2006-05-10

开console,ps -e 看看你怀疑的那个服务的进程号
然后kill 进程号后看看是不是还有这个情况

另外问一下那个255的机器是干吗的？

作者: 9122 发布时间: 2006-05-11

255不是机器呀，这不是个192.168.3段的广播地址吗。代表本段所有主机。

作者: youxiazhu 发布时间: 2006-05-11

您的方法让我怎么用亚？我哪知道那个进程是罪魁祸首？

作者: youxiazhu 发布时间: 2006-05-11

好像有一个命令可以查哪个进程用那个端口。一时想不起来了。想起来我会贴过来。

另外不知道是不是病毒。。。。升级安全包吧。

最后的办法可以用ethereal抓包看看是那个进程在做

作者: yujianfei2 发布时间: 2006-05-12

丢人了，忘记了广播地址
dm就是启动桌面环境的管理器，你如果进的是kde那么就应该有一个进程kdm，如果进的是gnome那也有可能是gdm，你看看你有没有这样的进程，排在他们前面的也就是进程号比他们低的就有可能是产生问题的进程了，
其实在dm前面的也没有几个了，越往前越底层，再就是驱动什么的，我没有装任何服务器方面的程序，所以关于网络的服务也不多，你试着杀杀看吧，从认识的号码大的开始杀，
推荐你先把启动方式改为默认不进图形界面，这样进程更少点，也好缩小范围
方便的话把进程贴上来大家一起研究研究

另外请问一下你是怎么检测到启动到dm就开始发包了？

作者: 9122 发布时间: 2006-05-12

又是ethereal解决了问题，是smb服务在发广播，去了他，用不上。

作者: youxiazhu 发布时间: 2006-05-17

看来问题解决了. 恭喜

作者: yujianfei2 发布时间: 2006-05-25

不对不对，我弄错了！smb确实有发广播，但并不是问题的根源，别人的瑞星防火墙还是查到我有icmp的广播，信息为：
时间动作协议地址
2006.5.27* 禁止 ICMP 192.168.3.31=>192.168.3.255
其中3.31是我，对方的是3.*（本段好几个人）

而且很有规律，每次攻击（瑞星认为是攻击，搞的同事对我挺有意见）的间隔都是1小时20分10秒，于是我在下一次攻击前后约1个小时内用ethereal再次抓包，将得到的信息粗略的分组：

"No.", "Time", "Source", "Destination", "Protocol", "Info"
1.................................
"3", "0.931852", "192.168.3.23", "Broadcast", "ARP", "Who has 192.168.3.31? Tell 192.168.3.23"
"4", "0.931878", "192.168.3.31", "192.168.3.23", "ARP", "192.168.3.31 is at 00:11:2f:3b:61:da"
"5", "0.931886", "192.168.3.32", "Broadcast", "ARP", "Who has 192.168.3.31? Tell 192.168.3.32"
"6", "0.931895", "192.168.3.31", "192.168.3.32", "ARP", "192.168.3.31 is at 00:11:2f:3b:61:da"
......还有很多，好像本段机器群起在找我

2.......................................
"42", "0.933127", "192.168.3.66", "192.168.3.31", "NBNS", "Name query response NB 192.168.3.66"
"43", "0.933157", "192.168.3.8", "192.168.3.31", "NBNS", "Name query response NB 192.168.3.8"
"44", "0.933184", "192.168.3.21", "192.168.3.31", "NBNS", "Name query response NB 192.168.3.21"
"45", "1.232920", "192.168.3.31", "192.168.3.255", "NBNS", "Name query NB *<00><00><00><00><00><00><00><00><00><00><00><00><00><00><00>"
"46", "1.233063", "192.168.3.23", "192.168.3.31", "NBNS", "Name query response NB 192.168.3.23"
..........还有很多，这段不知道他们在搞我什么

3...................
"75", "1.784961", "192.168.3.31", "192.168.3.0", "ICMP", "Echo (ping) request "
"76", "1.785191", "192.168.3.31", "192.168.3.4", "ICMP", "Echo (ping) request "
"77", "1.785265", "192.168.3.31", "192.168.3.7", "ICMP", "Echo (ping) request "
"78", "1.785299", "192.168.3.31", "192.168.3.8", "ICMP", "Echo (ping) request "
"79", "1.785328", "192.168.3.4", "192.168.3.31", "ICMP", "Echo (ping) reply "
"80", "1.785359", "192.168.3.31", "192.168.3.9", "ICMP", "Echo (ping) request "
.............还有很多，好像我在发彪，但我保证抓包时什么都没干！

4..........................
"88", "1.785752", "192.168.3.31", "Broadcast", "ARP", "Who has 192.168.3.1? Tell 192.168.3.31"
"89", "1.785764", "192.168.3.31", "Broadcast", "ARP", "Who has 192.168.3.2? Tell 192.168.3.31"
"90", "1.785775", "192.168.3.31", "Broadcast", "ARP", "Who has 192.168.3.3? Tell 192.168.3.31"
"91", "1.785785", "192.168.3.31", "Broadcast", "ARP", "Who has 192.168.3.5? Tell 192.168.3.31"
"92", "1.785799", "192.168.3.31", "Broadcast", "ARP", "Who has 192.168.3.6? Tell 192.168.3.31"
"93", "1.785809", "192.168.3.31", "Broadcast", "ARP", "Who has 192.168.3.10? Tell 192.168.3.31"
"94", "1.785825", "192.168.3.31", "Broadcast", "ARP", "Who has 192.168.3.11? Tell 192.168.3.31"
.............还有很多，好像我在逐个反击，不过抓包以后马上arp -a，确实收获很多，但很快就没了
接下来还是反复的arp和icmp包,从0到254干个彻底，注意icmp包从0开始，arp包是1～254,正两遍

5......................还有一些包不知道有没有关系(2.5是DNS服务器)
"382", "2.183418", "192.168.3.31", "192.168.2.5", "DNS", "Standard query PTR 4.3.168.192.in-addr.arpa"
"383", "2.345096", "192.168.2.5", "192.168.3.31", "DNS", "Standard query response, No such name"
"384", "2.345404", "192.168.3.31", "192.168.2.5", "DNS", "Standard query PTR 7.3.168.192.in-addr.arpa"
"385", "2.517485", "192.168.2.5", "192.168.3.31", "DNS", "Standard query response, No such name"
"386", "2.517785", "192.168.3.31", "192.168.2.5", "DNS", "Standard query PTR 9.3.168.192.in-addr.arpa"
................还有一些，怎么没完没了反复交谈好几回呀？

最后抓到的是本网段所有活动主机对我的arp的回应，纷纷返回了mac

就是这些了，由于ethereal没有反应具体每个包的时刻（小时分秒），我也不知道是那个包触动了别人的瑞星防火墙。奇怪的是就算是我真的ping它，他那个瑞星都不报警，我看了一下，防火墙的级别都设为高，ip规则中也包括禁止ping入。
我又测试了一下天网,默认设置下，无法ping入,但没有每隔80分钟的那个问题。

好了，罗嗦半天，大家可不可以给小弟点指教？

作者: youxiazhu 发布时间: 2006-05-27

Zeroconf 的问题？

Zeroconf 是苹果的网络设备自动识别协议，Mandriva Linux 是默认启用它了的。

作者: ShiyuTang 发布时间: 2006-05-28

怎么配置他亚？我打Zeroconf，提示没有这个命令。

作者: youxiazhu 发布时间: 2006-05-28

好像就在配置网络连接里面有吧？我也不是很清楚。最近在玩 Ubuntu。

作者: ShiyuTang 发布时间: 2006-05-28

终于找到了，原来就是lisa，他是干什么的？说是什么局域网管理服务，不是很明白，停止了他也没什么影响。

作者: youxiazhu 发布时间: 2006-05-29