[问题描述]  今天我测用omnipeek测试了一款arp攻击器，让我这台捕捉数据包，另一台电脑攻击，点攻击后，我这抓到大量的ARP　Response数据包，目标都是我这台电脑的ＭＡＣ地址，但攻击源都是些变化的非攻击方的ＭＡＣ地址，这样的话，我怎么样才可以能过omnipeek查出是由哪台机器发的包呢？？？

[捕获位置/拓扑描述]  
[捕获的工具与版本号]  omnipeek 3.11
[捕获的过滤条件描述]  无过滤

[捕获文件附件]

[ 本帖最后由 lli0077 于 2006-11-23 04:35 编辑 ]

关键在于管理

攻击主机的IP是192.168.0.249

楼上的兄弟，不对啊。。。
我并没有用192。168。0。249进行攻击。。。感觉如果对方欺骗，查不到源机器。。。它是随机产生一些MAC地址进行攻击

你把你攻击主机的IP和MAC地址
测试环境，
攻击用的软件，
测试用的操作系统版本
能说多详细就说多详细

[ 本帖最后由 finger 于 2006-11-23 23:30 编辑 ]

楼上的兄弟，我没说，主要是假设它在未知的情况下怎么样把它查出来，平时我们去查问题，攻击软件，对方情况一般也应该是未知的，操作系统都是是XP SP1的。客户机用了ISCSI协议的虚拟盘。

你用什么攻击软件？？
放个上来
我测测

哎 最近我们公司也一样，用我们公司的FLUKE查看了一下  出现了好多 IP都是10.001.001.97的这个地址，但是MAC不一样，但都很有规律 比如00145exxxxxxx, 而且是在核心层查出来的，汗！！ 用SNIFFER扫描了一下，又没有发现这类IP有什么发包或者收包情况，到这我真的有点迷茫了。大家有没有什么好的思路提供给我。

攻击软件如果只是试图阻止通讯，完全可以不暴露其原始地址信息。
只要查证交换机上的MAC-address表，就可以找到攻击者

谢谢各位的回复。。。收益很多。。
00145e这一般是厂家的编号，如果交换机没有IP-MAC address管理功能，那不是omnipeek不能直接查出问题根源了
另各位对SYN攻击有什么好的防御方法没有？？？

应当同时查看交换机上的ARP表，看看源MAC是从哪个端口发出的，就知道是哪台PC了