中国网管论坛 » 网络安全攻防专版 » !!!为什么很多机器不停地向192.168.1.255端口137、138发送UDP数据包!!!

droper 发表于 2007-4-13 15:18

!!!为什么很多机器不停地向192.168.1.255端口137、138发送UDP数据包!!!

网段的网关是、192.168.1.1

    现在发现:
192.168.1.10、192.168.1.11、192.168.1.12、192.168.1.13、192.168.1.14、
192.168.1.15、192.168.1.16、192.168.1.17、192.168.1.18、192.168.1.19
........不停地向192.168.1.255发送UDP数据包，端口是137、138，
    ping 192.168.1.1 (网关)时
    不是 “Reply from 10.21.62.254: Destination net unreachable.”
    就是 “Request timed out.”
    开始以为是中了ARP攻击病毒，打开Anti ARP Sniffer，运行了几个小时一
条记录也没产生，又找来“ARP欺骗木马专杀工具”在多台机上运行了，
再用nbtscan扫描，没发现一台机的MAC和网关MAC是相同的。

   但现在还是发现很多台机器向192.168.1.255发包，交换机都快疯了。
   (上网还是可以上的，)
   请教高手：
1。这是什么现象？
2。哪些IP的机中了毒？是什么样的病毒？能不能在任务管理器或资源管理器里
   直接看到？
3。怎样杀毒？是不是要所有的机器全部断开网络才能杀？
4。如果不能杀毒的话，怎样阻止这种情况出现？
5。我的网络192.168.1.*与另一网络192.168.2.*都有这种现象，两网之间有一个
   路由器连接，如果在我的网络上的所有机器全部杀了毒，而另一个网络则没杀，
   那么我的网络里的机器会不会被192.168.2.*网络传染？

   我在不少论坛里也看到过这样的描述，大概十来篇吧，没一个人回答，究竟
是新病毒还是什么？我想不大可能是ARP攻击类或ARP欺骗类病毒

三氯甲烷 发表于 2007-4-13 15:55

查下是不是中了ARP病毒
把网络流量限速
禁掉QQ直播和QQ音乐

checkpoint_84 发表于 2007-4-13 16:50

请你恶补下你的网络知识,不要在这嚷了!~~~
1.如果你内网有100台机  那么就会有100台机想137 138发送数据,想知道什么回事,我真的不想讲,你真是一个初哥!!~!!你把WINDOWS服务里面的TCP/IP NETBIOS禁用了 就不会有这事发生了!!! UDP 137 138是NETBIOS要使用到的端口,作用是获得计算机名!再正常不过!!~~~!
2-以后的问题都不用回答!!!!


至于你PING不通 请你写出你的TCP/IP配置,怕你不会看过程我写出来:开始-运行-CMD-IPCONFIG/ALL

最后再写出 ROUTE PRINT 来: 运行-CMD- ROUTE PRINT

eric83326 发表于 2007-4-13 20:38

楼上正解！

droper 发表于 2007-4-14 13:01

上面的人不要那么激愤，
    一个人问路正常的，十个人问路也是正常的，但是全中国13亿人中有12.8亿在同时问路，每秒钟问路次数 达3位数，而且一醒来就不停地问，直到他睡觉，这正常吗？
我的网络现在就是这种情况 删掉 NETBIOS 也向137、138发包

eric83326 发表于 2007-4-14 13:32

删掉netbios协议，TCP/IP协议上的netbios也是默认打开的，除非你在TCP/IP协议的属性中的高级项目里将其关掉！
请楼上尽快的去多看一些协议分析文章，再来思考你的网络是否有问题！

怕瓦落地 发表于 2007-4-15 14:01

192.168.1.255 是限制性广播（发现偶真实天才，创造了这个词。真正的意思忘了。不过这样理解也行）

你的所有机器都在广播询问某台计算机名的IP地址是多少，如果你分析下数据包的内容应该能看到 计算机名相关的字。

192.168.1.255 不是什么计算机IP地址，他的作用和255.255.255.255 是等质的。
192.168.1.255的广播范围只是在 192.168.1.0 的段起作用。  255.255.255.255 理论上来说是在所有的段都起作用。实际中也和发出该广播的网段有关系。

所以你的机器都在拼命的解析计算机名称到IP的对应关系。这就是传说中的广播风暴。  检查你的网络中有没有环路。有没有坏的网卡，有没有中病毒， 这些机器有没有运行一些IPX协议等软件。

在网络中能使用IP地址的地方不建议使用计算机名称，所以从XP开始已经默认的不安装IPX/NETBIOS协议了。直接通过TCP来搞定。

如果网络中真的需要大量使用计算机名 那么建议搭建一台wins服务器 随便找个机器都可以做，这个服务并不占多少资源。或者搭建DNS服务器也可以。采用域的环境来管理更棒。  GOOD LUCK。

zzhou0371 发表于 2007-4-17 13:47

是udp洪水病毒

kuaileamao 发表于 2007-5-9 00:00

:o:

zhadaosheng 发表于 2007-5-9 00:28

3楼兄弟回答很正确  参考他的意见吧

KFCDOWN 发表于 2007-5-10 09:41

顶

yuqianping 发表于 2007-5-13 15:52

dddddddddddddddddddddddddd

amsonchen 发表于 2007-5-14 15:32

呵呵，

sunjianbiao2005 发表于 2007-5-14 22:09

其实不是我们想装IPX协议,而是没有它万象都不能装,这个网吧比较惨,因为万象的工作原理正好是通过网络名称来识别机器状态的........

droper 发表于 2007-5-15 21:41

:'( 感动！过了这么久还有人回复我的文章，谢谢！！:'(

zyts1300 发表于 2007-5-17 20:14

30天打造专业红客

327142424 发表于 2007-5-30 14:51

只是来学习哈，看来……
深奥啊

QWASZX4407 发表于 2007-6-3 21:02

??????????????????????????????????????????????????????????????????????v

everopp 发表于 2007-11-6 08:24

3楼的是个傻B!根本就没看清楚别人问的是什么就在这里狂吠.


版主说的倒是有道理, 这情况环路的广播风暴可能性很大.
正在验证中..

至于禁用ipx的方法, 实验后再回来发表结果.

lperic 发表于 2007-11-6 11:58

呵呵，看到各位都争论的比较历害。 版主说的正解，不过我建议楼主建DNS而不建WINS。具体原因楼主可以上microsoft的主站上了解下这两种SERVER的区别在哪。

查看完整版本: !!!为什么很多机器不停地向192.168.1.255端口137、138发送UDP数据包!!!