Jump to content
  • Hello visitors, welcome to the Hacker World Forum!

    Red Team 1949  (formerly CHT Attack and Defense Team) In this rapidly changing Internet era, we maintain our original intention and create the best community to jointly exchange network technologies. You can obtain hacker attack and defense skills and knowledge in the forum, or you can join our Telegram communication group to discuss and communicate in real time. All kinds of advertisements are prohibited in the forum. Please register as a registered user to check our usage and privacy policy. Thank you for your cooperation.

    TheHackerWorld Official

Recommended Posts

目前内网中有台电脑出现了一个很奇怪的现象,该电脑IP为192.168.1.1/25,网关为192.168.1.126,使用某业务软件客户端有时出现卡顿的现象,甚至有连接不上服务端10.X.X.X的情况,但是一般浏览网页又是正常的,更换了交换机端口、网线,更新了网卡驱动,问题依旧。

排查的时候发现,当出现业务软件卡顿的时候,ping网关也不丢包,但是TTL值会从255变为64,TTL如果发生改变,一般是网关有地址冲突,或者arp欺骗等相关情况。

ping网关时当TTL值是255时,使用arp -a可以查看192.168.1.124和192.168.1.126的MAC都是11-22-33-44-55-66,由于启用了VRRP,所以会出现这种情况,并且当TTL变为64时,使用arp -a可以看到假冒的网关的MAC11-22-33-44-55-AA,根据该MAC地址可以查询到网卡厂家,刚好内网中只存在一台该品牌的设备,基本可以定位出假冒网关的设备了,是一台XX品牌的终端设备,并不是一台电脑。

该终端上的菜单里查看到的MAC是11-22-33-44-55-BB,发现并非刚才arp -a看到的MAC地址 11-22-33-44-55-AA,并且其配置的IP是192.168.1.20/25,但是该设备配置的网关是错误的,其配置的网关是192.168.2.254,配置的这个网关和IP都不在同一网段,但是该终端竟然也可以配置上。

拿笔记本直连该终端,笔记本配置192.168.1.X/25,ping通终端192.168.1.20后,查看arp,发现该终端的MAC的确是 11-22-33-44-55-AA ,该终端显示屏上的MAC竟然是错误的。

将终端的网关修改为正确的192.168.1.126后,电脑192.168.1.1上软件客户端使用正常,并且ping网关192.168.1.126的TTL值一直是255,问题解决。

Link to post
Link to comment
Share on other sites

 Share

discussion group

discussion group

    You don't have permission to chat.
    • Recently Browsing   0 members

      • No registered users viewing this page.
    ×
    ×
    • Create New...