请问这是怎么回事？我的网络被监控了么？

ibearz

为了不必要的麻烦，模糊了一下

今天在用IPtraf看流量的时候，无意中看到一个Mac地址：0d63

而且发现我收到的包都是从它这里发过来的(这里我不太确定这个理解是否正确)

我自己机器的mac地址是d2dc

但是，实际上，我所设置的网关的Mac地址应该是fb00

这样我才发现，只有我发出去的包，的确是从我知道的网关fb00出去的，可是收到的全部是从0d63这个地方收到的，我根本不认识它

怎么会都是从0d63收到的？应该也是从fb00这个网关收到吧

我在系统里设置的网关ip也是fb00的

我nmap了一下0d63这台，只是一台windows 2000 server 的服务器

而且traceroute外网的一个ip也只能看到我设置的网关(fb00)的ip，看不到0d63的ip

想不通阿。。。

请教一下高人，解答一下，先谢谢了

springwind426

看看那台机器去，是否中了arp病毒？

milujite

这台2000主机在ARP欺骗吧?
如果 是ARP欺骗的话
这时候的数据流向就是
你的主机-->2K SERVER-->GATEWAY
本来应该是
你的主机－－＞GATEWAY
网络还可能闪断。

ibearz

好像的确是被arp欺骗了，我用的网络好像是根据ip来限制带宽的，所以一直没有察觉

晨想

那应该全部都去另外一台机器的啊，怎么还会有直接通讯的数据呢？

ibearz

被你这么一说也对阿。。。
晕了

ibearz

哦，应该是它欺骗到了网关，但是没有骗到我

晨想

你也去欺骗网关吧。。哈哈。。或者你直接欺骗他去。。：）。

bobkey

它欺骗了gateway和你的机器，然后做了包转发，很老的会话劫持手段，依然有效，你可以安装look'stop之类的防火墙，限制只允许接受网关IP的arp包即可。
当然
要有效的解决，还是从交换机上入手，把IP和mac绑定，cisco的设置更多
现在
去干掉那个欺骗你的windows2000吧