这是一个创建于 2608 天前的主题,其中的信息可能已经有所发展或是发生改变。
家里有台乐视电视,只要一开机,就会狂发 arp 包。抓包看了一下,1 分多钟发了 700 多个 arp 包。
电视是 x43。系统是更新的最新版。没 root。
背景--- 昨天抓了下内网的包,发现乐视电视一直在狂发 arp 扫描包。1 分钟发 1000 个左右。一直在发。后来下了 360 电视管家查了一下,查出了一个木马,叫电视直播插件。安装的软件里找不到,没有图标,应该是个后台的应用。干掉了。
现在情况好点了。开机后不会在一直发 arp 扫描包。可开机的时候还会 1 分钟发 700 多个扫描包。估计是没杀干净。
大家知道有什么办法能查出是哪个进程在狂发包 arp 扫描包吗?
 |
1
shuax 2017-09-18 08:01:08 +08:00 via Android
我靠,我家的小米电视一开机,我家路由器就死机,看来是中毒了。
|
 |
2
eltonto187 OP @shuax 照昨天的抓包来看,是挺影响内网的。一直在疯狂发送 arp 扫描包。
|
 |
3
v1024 2017-09-18 08:03:15 +08:00 via iPhone
擦,回家给电视接到访客网络去
|
 |
4
datocp 2017-09-18 08:22:28 +08:00
以前也遇到一些教学软件出现广播风暴,导致网关路由拥塞没响应。当时用的 ebtables,openwrt 里还有个叫 arptable 的没怎么研究过。
最终解决方法,由于 vlan5 里所有的设备都是用静态网关就直接把所有的广播,多播全部丢弃 insmod ebtables insmod ebtable_filter insmod ebt_pkttype iptables -I INPUT -i vlan5 -m pkttype --pkt-type broadcast -j DROP iptables -I INPUT -i vlan5 -m pkttype --pkt-type multicast -j DROP #iptables -I INPUT -i vlan5 -m pkttype --pkt-type unicast -j DROP 该包不能丢弃,不然网络访问有问题。 如果知道是哪个端口的话也可以这样 1900 是 windows 的 upnp 1971 netop school 10001uap 广播包 iptables -I INPUT -p udp -m multiport --dport 1900,1971,10001 -d 255.255.255.255 -j REJECT --reject-with icmp-proto-unreachable |
|
5
eltonto187 OP @datocp 这个方法只是被动防守。有没有办法能纠出罪魁祸首(是谁搞的鬼)。电视是自已的,想直接干掉它。对于一个处女座的人,看见它在那疯狂 arp 扫描,很不舒服。
|
 |
6
xomix 2017-09-18 09:58:58 +08:00
@eltonto187 重置电视系统啊…………
|
 |
7
cchange 2017-09-18 12:01:52 +08:00 via iPhone
@eltonto187 刷系统啊 应该是 android 一般用 u 盘或者 sd 卡刷
|
 |
8
wangxiaoer 2017-09-19 06:36:28 +08:00 via Android
楼主用什么扫描的?
|
|
9
eltonto187 OP @wangxiaoer 同一 wifi 环境下,用 wireshark 在电脑上抓就行
|
 |
10
BGgrK0Zv5Hp17lm3 2017-09-20 16:49:24 +08:00
楼主是安装了什么流氓软件吗
|
 |
11
likaci 2017-09-30 16:31:33 +08:00
|
Select Language