怎样有效判断局域网里哪台机器中了arp病毒?
怎样有效判断局域网里哪台机器中了arp病毒?
我也遇到过,但因为我们的区域网内的机器比较少,只有10台,而且我的机器大都装了360安全卫士,它里面有个ARP防火墙,只有一台机器没装,所以我非常快就搞定了,我想如果实在不行,在交换机那试一下,一台一台试应该不要太久的时间的。不知道有没有帮到你!
区域网如何查询哪台机器中arp病毒?
可以在路由器里看每台电脑的外网连线数,如果没有BT迅雷下载连线数肯定不会超过两位数,中ARP病毒的电脑连线数都会有几千。这个方法最快,可以迅速查处中毒电脑给其断网。一般的企业路由器都有这个功能。还有一种方法比较麻烦,就是一台一台查。你只要看每台电脑的本地连线就可以了(就是萤幕右下脚那两个小电脑)。如果本地连线一直亮着不停的传送接受资料,并且每次传送接受上千的资料包(前提他并没有使用迅雷BT下载),那这个电脑一定中ARP病毒了。
推荐一款防毒软体给你用,免费杀木马病毒一流
到公司机房总交换机处,用一台电脑PING闸道器,如:ping 192.168.0.1 -t,局域网里有电脑如果中了ARP病毒那么PING值一定很高而且还经常丢包,如果正常PING值会小于1MS。接下来知道怎么办了吧,把网线一根一根拔下来试,看看拔下哪根网线PING值正常了,也就找到了中毒电脑,看你的情况中毒的不止一台电脑,要有耐心,这也不失是一种办法。
怎么判断自己的机器是否中了arp或者区域网的某台机器中了。怎么找病毒主机。360的arp好用吗
记的是先ping 闸道器。ping 一下就行。
然后打 arp -a
再查查 闸道器的 mac地址。
这时闸道器的mac地址是 中病毒的那台机器的 mac地址。
如果你是网管就可以上闸道器上看路由表,检视中毒机器的真实IP。
如果你不是网管。就内网一台台ping过去,然后检视mac地址。
区域网如何查询哪台机器中arp病毒? 华为3026E
区域网受ARP变种病毒攻击后瞬间掉线的解决方法
前言:2006年算是ARP和LOGO1病毒对区域网的危害最大,在前期我们一般采用双向梆定的方法即可解决
但是ARP变种 出现日期大概在10月份底,大家也许还在为闸道器掉线还以为是电信的问题还烦恼吧,其实不然变种过程ARP病毒-变种OK病毒-变种TrojanDropper.Win32.Juntador.f或TrojanDropper.Win32.Juntador.C
现在的这个ARP变种病毒更是厉害,我把自己遇到过的情况说给大家听听,如果大家有这些情况,不好意思“恭喜你”
你中大奖了,呵呵~~
先了解ARP变种病毒的特性吧:
一:破坏你的ARP双向系结批出理
二:中毒机器改变成代理伺服器又叫代理路由
三:改变路由的闸道器MAC地址和internat闸道器的MAC地址一样
病毒发作情况:现在的ARP变种 不是攻击客户机的MAC地址攻击路由内网闸道器,改变了它的原理,这点实在佩服
直接攻击您的路由的什么地址你知道吗?哈哈~~猜猜吧~~不卖关了~~新的变种ARP直接攻击您路由的MAC地址和外网闸道器
而且直接就把系结IP与MAC的批处理档案禁用了。一会儿全掉线,一会儿是几台几台的掉线。而且
中了ARP的电脑会把那台电脑转变成内网的代理伺服器进行盗号和发动攻击。如果大家发现中了ARP没有掉线,那说明你
中了最新的变种,你只要重启了那台中了ARP病毒的电脑,那么受到ARP攻击的机子就会全部掉线
内网的闸道器不掉包,而外网的IP和DNS狂掉,这点也是ARP变种的出现的情况,请大家留意。
我在最后会公布解决的案例和相关补丁,请大家看完全文可能对你有帮助哦,不要急着下~呵呵~
该病毒发作时候的特征为,中毒的机器会伪造某台电脑的MAC地址,如该伪造地址为闸道器伺服器的地址,那么对整个网咖均会造成影响,使用者表现为上网经常瞬断。
一、在任意客户机上进入命令提示符(或MS-DOS方式),用arp –a命令检视:
C:\WINNT\system32>arp -a
Interface: 192.168.0.193 on Interface 0x1000003
Inter Address Physical Address Type
192.168.0.1 00-50-da-8a-62-2c dynamic
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic
可以看到有两个机器的MAC地址相同,那么实际检查结果为 00-50-da-8a-62-2c为192.168.0.24的MAC地址,192.168.0.1的实际MAC地址为00-02-ba-0b-04-32,我们可以判定192.168.0.24实际上为有病毒的机器,它伪造了192.168.0.1的MAC地址。
二、在192.168.0.24上进入命令提示符(或MS-DOS方式),用arp –a命令检视:
C:\WINNT\system32>arp -a
Interface: 192.168.0.24 on Interface 0x1000003
Inter Address Physical Address Type
192.168.0.1 00-02-ba-0b-04-32 dynamic
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.193 00-11-2f-b2-9d-17 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic
可以看到带病毒的机器上显示的MAC地址是正确的,而且该机执行速度缓慢,应该为所有流量在二层通过该机进行转发而导致,该机重启后网咖内所有电脑都不能上网,只有等arp重新整理MAC地址后才正常,一般在2、3分钟左右。
三、如果主机可以进入dos视窗,用arp –a命令可以看到类似下面的现象:
C:\WINNT\system32>arp -a
Interface: 192.168.0.1 on Interface 0x1000004
Inter Address Physical Address Type
192.168.0.23 00-50-da-8a-62-2c dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-50-da-8a-62-2c dynamic
192.168.0.193 00-50-da-8a-62-2c dynamic
192.168.0.200 00-50-da-8a-62-2c dynamic
该病毒不发作的时候,在代理伺服器上看到的地址情况如下:
C:\WINNT\system32>arp -a
Interface: 192.168.0.1 on Interface 0x1000004
Inter Address Physical Address Type
192.168.0.23 00-11-2f-43-81-8b dynamic
192.168.0.24 00-50-da-8a-62-2c dynamic
192.168.0.25 00-05-5d-ff-a8-87 dynamic
192.168.0.193 00-11-2f-b2-9d-17 dynamic
192.168.0.200 00-50-ba-fa-59-fe dynamic
病毒发作的时候,可以看到所有的ip地址的mac地址被修改为00-50-da-8a-62-2c,正常的时候可以看到MAC地址均不会相同。
成功就是潜意识的等待-学无止境!至弱即为至强
一步一步按步骤操作
解决办法一:
一、采用客户机及闸道器伺服器上进行静态ARP系结的办法来解决。
1. 在所有的客户端机器上做闸道器伺服器的ARP静态系结。
首先在闸道器伺服器(代理主机)的电脑上检视本机MAC地址
C:\WINNT\system32>ipconfig /all
Ether adapter 本地连线 2:
Connection-specific DNS Suffix . :
Descript_ion . . . . . . . . . . . : Intel? PRO/100B PCI Adapter (TX)
Physical Address. . . . . . . . . : 00-02-ba-0b-04-32
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 192.168.0.1
Sub Mask . . . . . . . . . . . : 255.255.255.0
然后在客户机器的DOS命令下做ARP的静态系结
C:\WINNT\system32>arp –s 192.168.0.1 00-02-ba-0b-04-32
注:如有条件,建议在客户机上做所有其他客户机的IP和MAC地址系结。
2. 在闸道器伺服器(代理主机)的电脑上做客户机器的ARP静态系结
首先在所有的客户端机器上检视IP和MAC地址,命令如上。
然后在代理主机上做所有客户端伺服器的ARP静态系结。如:
C:\winnt\system32> arp –s 192.168.0.23 00-11-2f-43-81-8b
C:\winnt\system32> arp –s 192.168.0.24 00-50-da-8a-62-2c
C:\winnt\system32> arp –s 192.168.0.25 00-05-5d-ff-a8-87
。。。。。。。。。
3. 以上ARP的静态系结最后做成一个windows自启动档案,让电脑一启动就执行以上操作,保证配置不丢失。
二、有条件的网咖可以在交换机内进行IP地址与MAC地址系结
三、IP和MAC进行系结后,更换网络卡需要重新系结,因此建议在客户机安装防毒软体来解决此类问题:该网咖发现的病毒是变速齿轮2.04B中带的,病毒程式在 :wgwang./list/3007. 可下载到:
解决方法二:
1:在闸道器路由上对客户机使用静态MAC系结。ROUTE OS软路由的使用者可以参照相关教程,或是在IP--->ARP列表中一一选中对应专案单击右键选择“MAKE STATIC”命令,建立静态对应项。
用防火墙封堵常见病毒埠:134-139,445,500,6677,5800,5900,593,1025,1026,2745,3127,6129 以及P2P下载
2:在客户机上进行闸道器IP及其MAC静态系结,并修改汇入如下注册表:
(A)禁止ICMP重定向报文
ICMP的重定向报文控制着Windows是否会改变路由表从而响应网路装置传送给它的ICMP重定向讯息,这样虽然方便了使用者,但是有时也会被他人利用来进行网路攻击,这对于一个计算机网路管理员来说是一件非常麻烦的事情。通过修改登录档可禁止响应ICMP的重定向报文,从而使网路更为安全。
修改的方法是:开启登录档编辑器,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters”分支,在右侧视窗中将子键“EnableICMPRedirects”(REG_DWORD型)的值修改为0(0为禁止ICMP的重定向报文)即可。
(B)禁止响应ICMP路由通告报文
“ICMP路由公告”功能可以使他人的计算机的网路连线异常、资料被窃听、计算机被用于流量攻击等,因此建议关闭响应ICMP路由通告报文。
修改的方法是:开启登录档编辑器,找到或新建“HKEY_LOCAL_Machine\System\CurrentControlSet\Services\TCPIP\Paramters\Interfaces”分支,在右侧视窗中将子键“PerformRouterDiscovery”?REG_DWORD型的值修改为0(0为禁止响应ICMP路由通告报文,2为允许响应ICMP路由通告报文)。修改完成后退出登录档编辑器,重新启动计算机即可。
(C)设定arp快取老化时间设定
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,预设值为120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,预设值为600)
说明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP
快取项在ArpCacheLife秒后到期.如果ArpCacheLife小于ArpCacheMinReferencedLife,
未引用项在ArpCacheLife秒后到期,而引用项在ArpCacheMinReferencedLife秒后到期.
每次将出站资料包传送到项的IP地址时,就会引用ARP快取中的项。
曾经看见有人说过,只要保持IP-MAC快取不被更新,就可以保持正确的ARP协议执行。关于此点,我想可不可以通过,修改登录档相关键值达到:
预设情况下ARP快取的超时时限是两分钟,你可以在登录档中进行修改。可以修改的键值有两个,都位于
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
修改的键值:
键值1:ArpCacheLife,型别为Dword,单位为秒,预设值为120
键值2:ArpCacheMinReferencedLife,型别为Dword,单位为秒,预设值为600
注意:这些键值预设是不存在的,如果你想修改,必须自行建立;修改后重启计算机后生效。
如果ArpCacheLife的值比ArpCacheMinReferencedLife的值大,那么ARP快取的超时时间设定为ArpCacheLife的值;如果ArpCacheLife的值不存在或者比ArpCacheMinReferencedLife的值小,那么对于未使用的ARP快取,超时时间设定为120秒;对于正在使用的ARP快取,超时时间则设定为ArpCacheMinReferencedLife的值。
我们也许可以将上述键值设定为非常大,不被强制更新ARP快取。为了防止病毒自己修改登录档,可以对登录档加以限制。
对于小网咖,只要事先在没遇到ARP攻击前,通过任意一个IP-MAC地址检视工具,纪录所有机器的正确IP-MAC地址。等到受到攻击可以检视哪台机器出现问题,然后通常是暴力解决,问题也许不是很严重。但是对于内网电脑数量过大,每台机器都帮定所有IP-MAC地址,工作量非常巨大,必须通过专门软体执行。
解决办法三:
删除system32
pptools.dll,我维护的网咖那里删除了一个月了,从来没中过ARP病毒,也无任何不良反映,ARP病毒缺少了npptools.dll这个档案根本不能执行,目前所发现的ARP病毒通通提示npptools.dll出错,无法执行
暂时还没发现可以自动生成npptools.dll的病毒,npptools.dll本身就40多K,病毒如果还要生成自己的执行库的话,不是几十K的大小就可以办到的,再大一些的就不是病毒了
当然,还是要做ARP -S系结,只系结本机自身跟路由即可,可以在“一定程度上”减少ARP程式的破坏
删除不了同志,麻烦您先关闭档案保护,最简单的方法就是用XPLITE来关闭,网上一搜一大把的
另外再次宣告,这个方法只对ARP病毒生效,对恶意软体只是小部分有效的
特别提醒一点:不要忘记了梆定外网闸道器和MAC,下面我举个例子吧
IP:10.10.10.10
子网掩码:255.255.255.255
闸道器:10.10.10.9[一定要系结这个闸道器地址和MAC]
DNS:222.222.222.222
备用DNS:222.222.221.221
个人推荐安全工具及补丁:
个人认为这点TP-LINK480T的路由做的非常好,具体请看本站的对于TP-LINK480T的路由介绍
小网咖使用TP-LINK480T的请升级最新版本,本站有下载
使用思科和华为的请系结闸道器地址和MAC
推荐工具: AntiArpSniffer3最新版
补丁:mAC系结程式
Vnd8.28防ARP补丁
ARP变种病毒微软补丁
TP-LINK480T最新升级补丁
可以安装网路版ARP防毒软体,然后做双向地址系结!
区域网受ARP变种病毒攻击后瞬间掉线的解决方法 前言:2006年算是ARP和LOGO1病毒对区域网的危害最大,在前期我们一般采用双向梆定的方法即可解决 但是ARP变种 出现日期大概在10月份底,大家也许还在为闸道器掉线还以为是电信的问题还烦恼吧,其实不然变种过程ARP病毒-变种OK病毒-变种TrojanDropper.Win32.Juntador.f或TrojanDropper.Win32.Juntador.C 现在的这个ARP变种病毒更是厉害,我把自己遇到过的情况说给大家听听,如果大家有这些情况,不好意思“恭喜你” 你中大奖了,呵呵~~ 先了解ARP变种病毒的特性吧: 一:破坏你的ARP双向系结批出理 二:中毒机器改变成代理伺服器又叫代理路由 三:改变路由的闸道器MAC地址和internat闸道器的MAC地址一样 病毒发作情况:现在的ARP变种 不是攻击客户机的MAC地址攻击路由内网闸道器,改变了它的原理,这点实在佩服 直接攻击您的路由的什么地址你知道吗?哈哈~~猜猜吧~~不卖关了~~新的变种ARP直接攻击您路由的MAC地址和外网闸道器 而且直接就把系结IP与MAC的批处理档案禁用了。一会儿全掉线,一会儿是几台几台的掉线。而且 中了ARP的电脑会把那台电脑转变成内网的代理伺服器进行盗号和发动攻击。如果大家发现中了ARP没有掉线,那说明你 中了最新的变种,你只要重启了那台中了ARP病毒的电脑,那么受到ARP攻击的机子就会全部掉线 内网的闸道器不掉包,而外网的IP和DNS狂掉,这点也是ARP变种的出现的情况,请大家留意。 我在最后会公布解决的案例和相关补丁,请大家看完全文可能对你有帮助哦,不要急着下~呵呵~ 该病毒发作时候的特征为,中毒的机器会伪造某台电脑的MAC地址,如该伪造地址为闸道器伺服器的地址,那么对整个网咖均会造成影响,使用者表现为上网经常瞬断。 一、在任意客户机上进入命令提示符(或MS-DOS方式),用arp –a命令检视: C:\WINNT\system32>arp -a Interface: 192.168.0.193 on Interface 0x1000003 Inter Address Physical Address Type 192.168.0.1 00-50-da-8a-62-2c dynamic 192.168.0.23 00-11-2f-43-81-8b dynamic 192.168.0.24 00-50-da-8a-62-2c dynamic 192.168.0.25 00-05-5d-ff-a8-87 dynamic 192.168.0.200 00-50-ba-fa-59-fe dynamic 可以看到有两个机器的MAC地址相同,那么实际检查结果为 00-50-da-8a-62-2c为192.168.0.24的MAC地址,192.168.0.1的实际MAC地址为00-02-ba-0b-04-32,我们可以判定192.168.0.24实际上为有病毒的机器,它伪造了192.168.0.1的MAC地址。 二、在192.168.0.24上进入命令提示符(或MS-DOS方式),用arp –a命令检视: C:\WINNT\system32>arp -a Interface: 192.168.0.24 on Interface 0x1000003 Inter Address Physical Address Type 192.168.0.1 00-02-ba-0b-04-32 dynamic 192.168.0.23 00-11-2f-43-81-8b dynamic 192.168.0.25 00-05-5d-ff-a8-87 dynamic 192.168.0.193 00-11-2f-b2-9d-17 dynamic 192.168.0.200 00-50-ba-fa-59-fe dynamic 可以看到带病毒的机器上显示的MAC地址是正确的,而且该机执行速度缓慢,应该为所有流量在二层通过该机进行转发而导致,该机重启后网咖内所有电脑都不能上网,只有等arp重新整理MAC地址后才正常,一般 检视原帖>>
区域网内有台机器中了ARP怎么办啊
断网 做系统 在断网的情况下把补丁和防毒软体打上就OKl
区域网中,一台机器中了ARP ,不用工具怎么检查是哪台机器中毒了?
哪个高手能用肉眼看啊。。。
我们公司上个月也中了,我是用360查出来的,设定ARP防火墙,能拦截到攻击,就能查发出攻击的IP地址,这样找出来的
区域网中了ARP病毒不断遭到攻击怎么查出是哪个机器中的病毒?
1,比较简单的办法
a,执行cmd
b,在命令列介面下,输入arp -a回车
c,先看你当前闸道器ip的mac资料,例如是10.16.0.1 MAC为 00-00-00-00-00-00(确认一下是不是你本身闸道器的mac,如果不是,那就可能受到arp攻击),记下这个假的mac地址,然后,再在你刚才arp -a出来的资料里,找出和这个mac一样的ip地址,再去该机检视一下
2,执行抓包类软体,执行30秒左右,检视抓获的资料包里,ARP报文出现得最频繁的mac地址,如果有针对网内有做mac登记,那推算是哪一台相信很快就可以了
3,如果不怕麻烦,网内电脑都打限制arp发包功能的补丁,或者启用pppoe网路的使用者登入方式,内部资料传输量大的某几个服务IP,可以指定小一点的子网,让它们走直通路由。
单位区域网中了ARP病毒,共几百台机器,怎么查出,怎么杀掉
【解决方法】
您好!通常对待区域网中的ARP病毒处理方法:
1.检测确认是否中了ARP病毒。ARP病毒的症状:上网时好时断,访问网路上的芳邻也是如此,拷贝档案无法完成,出现错误;区域网内的ARP包爆增,使用ARP查询的时候会发现不正常的MAC地址,或者是错误的MAC地址对应,还有就是一个MAC地址对应多个IP的情况也会有出现。
2.清除区域网中的ARP病毒。请参考::feiying.blog.51cto./230250/42812
3.预防措施
a、及时升级客户端的作业系统和应用程式补丁;
b、安装和更新防毒软体。
c、如果网路规模较少,尽量使用手动指定IP设定,而不是使用DHCP来分配IP地址。
d、如果交换机支援,在交换机上系结MAC地址与IP地址(不是好办法)
怎样判断两台电脑是同一个局域网?
在windows中,开始->cmd 进入Dos,输入ipconfig \/all,查看网络配置。首先看子网掩码(Subnet Mask),如果两台机器子网掩码不一致,不在一个局域网。若子网掩码一致,再看IP地址的与子网掩码255对应的IP段是否一致,如果一致,属于一个子网,即一个局域网。例如10.178.0.222与10.178.1.212两个...
如何判断自己是否在局域网?
在运行中输入cmd进入shell 在shell中键入ipconfig \/all 看看ip address后的IP地址是否属于以下的网段:10.0.0.0-10.255.255.255 172.16.0.0-172.31.255.255 192.168.0.0-192.168.255.255 属于的话就是局域网,如192.168.1.5 ARP防火墙属于端口过滤防火墙,主要用来防止ARP攻击,不管是内部网...
怎样判断局域网
1.1 (路由器有默认的IP地址不一般不用改),那么家里两台计算机的IP也必定要设置到同一网段中,如:一台设置为192.168.1.20 ,另一台为:192.168.1.100(这个地址范围可以是:~~.2——~~.254)。此时这两台计算机就处于同一个网落了,这个网络就是我们说的内网,即局域网(LAN)。
办公室的电脑如何判断我们是在一个局域网内?
如果都是同一个交换机出来的,那就看IP地址和子网掩码来判断,把你们的IP地址和子网掩码说一个吧,我帮你判断
如何查看是否处于同一局域网
,再次确认即可。4、选择某一个具体的虚拟机,打开其设置文件,选择“网络”,查看连接网络信息。5、选择“NAT网络”,在其高级设置中修改混杂模式为“允许虚拟电脑”,同时可以刷新改变其mac地址。6、完成所有操作之后,启动多台虚拟机,在终端输入“idconfig”可以查看其IP地址是否属于同一局域网。
怎样判断单位的网络有内网或者说局域网,单位电脑的IP是动态的,连的交换...
此情况是在自己的IP不是上面两种时使用,有些网管会给内网设置一个公网的IP,这些只要设置内网禁止访问80端口,也是可以正常访问外网网站的。路径上第一个点是是与你电脑最近的电脑,可能是DHCP服务,可能是网关服务。四、还有个事情。DHCP获得IP的都可以当作局域网处理了。没人会在互联网上开DHCP服务,...
如何辨别自己的计算机处于内网中还是外网中?
在显示的 IP Address.后面就是你的本机ip地址 一、什么是内网?通俗的讲就是局域网,网吧、校园网、单位办公网都属于此类。另外光纤到楼、小区宽带、教育网、有线电视Cable Modem上网虽然地域范围比较大但本质上还是基于以太网技术,所以任然属于内网。二、怎么判断我是不是内网呢?你可以询问 ISP 看看...
利用什么办法可以检测出局域网里是哪台电脑发ARP病毒导致网络瘫痪_百度...
要想准确定位终端就要获得终端的真实信息,现在的免疫墙通过在每台终端安装免疫驱动,从网卡上读取真实的信息,这区别于别的从系统中读取信息,系统中的信息可能是错误的,但网卡上的信息是不能改的,免疫驱动将真实信息发给运营中心,在运营中心中可以看到全网的使用情况,并能准确定位到每台终端。
怎么判断多个路由器在一个局域网
局域网内也存在多个下级路由器的话,的确需要同在一个IP地址段内的电脑才可以共享(如果不同地址段,则要在主路由器上设置路由表才可以跨段共享)如果手头没有相关软件查找各个路由器,那么可以在各个下级路由器接入一下(或各个路由器下的电脑),查看IP地址。。。如果IP地址前三段都一样的,说明这些...
如何通过查看局域网电脑ip地址判断那个电脑网络出故障
不正确的IP地址,比如:局域网网段是192.168.1.x,但是获取到的IP地址却是192.168.0.x。(说明有私接的DHCP服务,导致DHCP冲突)2. ping内网网关 断网时,首先要判断内网是否存在问题。一般通过ping内网网关就可以判断出来。如图:内网的丢包率应该为0,有线ping值一般在1ms以内,无线ping值1ms-20...
展牧奥罗: ...这时候我们只要在其它受影响的电脑中查询一下当前网关的MAC地址,就知道中毒电脑的MAC地址了,查询命令为... 即可快速定位出中毒电脑. 8 Sniffer 抓包嗅探法 当局域网中有ARP病毒欺骗时,往往伴随着大量的ARP...
乌拉特后旗17754525209: 如何诊断局域网中哪台电脑中了病毒?
展牧奥罗: 局域网中电脑中病毒,如果一台电脑中病毒而不影响其它电脑的正常使用,那就说明这个病毒不会在局域网内传播.只对着一台进行杀毒处理就可以了. 如果是影响其它电脑正常使用(经常连不上网络、网速变得很慢)像这种情况就要找到那台主机了,既然影响其它的电脑上网那就说明网络中有大量的数据在发出或者是接收.下个局域网监控软件就可以看到每一台电脑的接收、发出的数据量了.找到显示最大的就是有病毒的主机了.像p2p终结者、sniffer都可以使用说明自己下吧,一时说不清楚
乌拉特后旗17754525209: 怎么判断哪台电脑中了APR病毒 - ?
展牧奥罗: 在收到ARP欺骗的本机,在开始--运行中,输入“cmd”,进入ms-dos,通过命令行窗口输入“arp -a”命令,查看ARP列表.会发现该MAC已经被替换成攻击机器的MAC,将该MAC记录(以备查找),然后根据此MAC找出中病毒的计算机.
乌拉特后旗17754525209: 怎么查出局域网中哪一台电脑中病毒了 - ?
展牧奥罗: 规模小的话就人为查吧.使用者应该有异常信息回溃给你的.你其它机器做好安全工作.区域大的话,就一台台交换机查,判定在那台交换机了就开始那台交换机下面的机器地毯式查.
乌拉特后旗17754525209: 在局域网中怎么样查找中毒电脑!! - ?
展牧奥罗: 通过防火墙也可以判断,比如天网,在你的机器上的天网报警,看到局域网某ip狂ping你的电脑.或是在连接低端端口.那个机器肯定有问题了.
乌拉特后旗17754525209: 局域网如何查询哪台机器中arp病毒? - ?
展牧奥罗: 这个方法最快,可以迅速查处中毒电脑给其断网.一般的企业路由器都有这个功能.还有一种方法比较麻烦,就是一台一台查.你只要看每台电脑的本地连接就可以了(就是屏幕右下脚那两个小电脑).如果本地连接一直亮着不停的发送接受数据,并且每次发送接受上千的数据包(前提他并没有使用迅雷BT下载),那这个电脑一定中ARP病毒了. 推荐一款杀毒软件给你用,免费杀木马病毒一流 到公司机房总交换机处,用一台电脑PING网关,如:ping 192.168.0.1 -t,局域网里有电脑如果中了ARP病毒那么PING值一定很高而且还经常丢包,如果正常PING值会小于1MS.
乌拉特后旗17754525209: 如何判断局域网中了ARP病毒,确定是中了ARP又如何查找是哪台中了ARP? - ?
展牧奥罗: ARP病毒的症状 有时候无法正常上网,有时候有好了,包括访问网上邻居也是如此,拷贝文件无法完成,出现错误;局域网内的ARP包爆增,使用ARP查询的时候会发现不正常的MAC地址,或者是错误的MAC地址对应,还有就是一个MAC地址...
乌拉特后旗17754525209: 怎么查出局域网中哪台电脑中病毒了?
展牧奥罗: ping你的数据流,看你的那个端口数据流不在正常范围内,或者超出了设置或正常使用范围的. 找到端口,就用服务器找IP,然后就知道是那台机子. 楼上说的,防火墙也能知道,这个也可以.
乌拉特后旗17754525209: 局域网中的某台机子中毒,如何可以确定是哪台呢 - ?
展牧奥罗: 用p2p终结者带的局域网Sniffer检测工具检测下试试
乌拉特后旗17754525209: 如何查看局域网中的哪台PC机中病毒 - ?
展牧奥罗: 其实不管是局域网还是外网,只要你的pc机中毒,都会和平时不一样,很容易发现自己使用的pc机中毒的!如果你是局域网的管理者不经常使用每一台pc机,可以用cmd命令语句查看每一台机子的网络情况!不过这个命令的使用方法网络都有,查查就行了,比如查看两台电脑是不是互相通信,使用ping命令就很容易了!
