V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
eltonto187
V2EX  ›  问与答

乐视电视狂发 arp 扫描包。大家知道如何能查出是谁在狂发 arp 包吗?

  •  
  •   eltonto187 · 2017-09-18 07:58:35 +08:00 · 3154 次点击
    这是一个创建于 2608 天前的主题,其中的信息可能已经有所发展或是发生改变。

    家里有台乐视电视,只要一开机,就会狂发 arp 包。抓包看了一下,1 分多钟发了 700 多个 arp 包。

    电视是 x43。系统是更新的最新版。没 root。

    背景--- 昨天抓了下内网的包,发现乐视电视一直在狂发 arp 扫描包。1 分钟发 1000 个左右。一直在发。后来下了 360 电视管家查了一下,查出了一个木马,叫电视直播插件。安装的软件里找不到,没有图标,应该是个后台的应用。干掉了。

    现在情况好点了。开机后不会在一直发 arp 扫描包。可开机的时候还会 1 分钟发 700 多个扫描包。估计是没杀干净。

    大家知道有什么办法能查出是哪个进程在狂发包 arp 扫描包吗?

    11 条回复    2017-09-30 16:31:33 +08:00
    shuax
        1
    shuax  
       2017-09-18 08:01:08 +08:00 via Android
    我靠,我家的小米电视一开机,我家路由器就死机,看来是中毒了。
    eltonto187
        2
    eltonto187  
    OP
       2017-09-18 08:03:08 +08:00
    @shuax 照昨天的抓包来看,是挺影响内网的。一直在疯狂发送 arp 扫描包。
    v1024
        3
    v1024  
       2017-09-18 08:03:15 +08:00 via iPhone
    擦,回家给电视接到访客网络去
    datocp
        4
    datocp  
       2017-09-18 08:22:28 +08:00
    以前也遇到一些教学软件出现广播风暴,导致网关路由拥塞没响应。当时用的 ebtables,openwrt 里还有个叫 arptable 的没怎么研究过。

    最终解决方法,由于 vlan5 里所有的设备都是用静态网关就直接把所有的广播,多播全部丢弃
    insmod ebtables
    insmod ebtable_filter
    insmod ebt_pkttype
    iptables -I INPUT -i vlan5 -m pkttype --pkt-type broadcast -j DROP
    iptables -I INPUT -i vlan5 -m pkttype --pkt-type multicast -j DROP
    #iptables -I INPUT -i vlan5 -m pkttype --pkt-type unicast -j DROP 该包不能丢弃,不然网络访问有问题。
    如果知道是哪个端口的话也可以这样 1900 是 windows 的 upnp 1971 netop school 10001uap 广播包
    iptables -I INPUT -p udp -m multiport --dport 1900,1971,10001 -d 255.255.255.255 -j REJECT --reject-with icmp-proto-unreachable
    eltonto187
        5
    eltonto187  
    OP
       2017-09-18 08:41:03 +08:00
    @datocp 这个方法只是被动防守。有没有办法能纠出罪魁祸首(是谁搞的鬼)。电视是自已的,想直接干掉它。对于一个处女座的人,看见它在那疯狂 arp 扫描,很不舒服。
    xomix
        6
    xomix  
       2017-09-18 09:58:58 +08:00
    @eltonto187 重置电视系统啊…………
    cchange
        7
    cchange  
       2017-09-18 12:01:52 +08:00 via iPhone
    @eltonto187 刷系统啊 应该是 android 一般用 u 盘或者 sd 卡刷
    wangxiaoer
        8
    wangxiaoer  
       2017-09-19 06:36:28 +08:00 via Android
    楼主用什么扫描的?
    eltonto187
        9
    eltonto187  
    OP
       2017-09-19 11:11:30 +08:00
    @wangxiaoer 同一 wifi 环境下,用 wireshark 在电脑上抓就行
    BGgrK0Zv5Hp17lm3
        10
    BGgrK0Zv5Hp17lm3  
       2017-09-20 16:49:24 +08:00
    楼主是安装了什么流氓软件吗
    likaci
        11
    likaci  
       2017-09-30 16:31:33 +08:00
    @eltonto187
    怀疑是 com.stv.reportlog, 有 root 可以干掉试试
    用 adb shell strace -f -p PID | grep sendto 可以发现
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5386 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 07:15 · PVG 15:15 · LAX 23:15 · JFK 02:15
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.