① 請問:如何快速查找出內網中的病毒源
快速查找ARP病毒源技巧三則
第一招:使用Sniffer抓包在網路內任意一台主機上運行抓包軟體,捕獲所有到達本機的數據包。如果發現有某個IP不斷發送請求包,那麼這台電腦一般就是病毒源。原理:無論何種ARP病毒變種,行為方式有兩種,一是欺騙網關,二是欺騙網內的所有主機。最終的結果是,在網關的ARP緩存表中,網內所有活動主機的MAC地址均為中毒主機的MAC地址;網內所有主機的ARP緩存表中,網關的MAC地址也成為中毒主機的MAC地址。前者保證了從網關到網內主機的數據包被發到中毒主機,後者相反,使得主機發往網關的數據包均發送到中毒主機。
第二招:使用arp -a命令任意選兩台不能上網的主機,在DOS命令窗口下運行arp -a命令。例如在結果中,兩台電腦除了網關的IP,MAC地址對應項,都包含了192.168.0.186的這個IP,則可以斷定192.168.0.186這台主機就是病毒源。原理:一般情況下,網內的主機只和網關通信。正常情況下,一台主機的ARP緩存中應該只有網關的MAC地址。如果有其他主機的MAC地址,說明本地主機和這台主機最後有過數據通信發生。如果某台主機(例如上面的192.168.0.186)既不是網關也不是伺服器,但和網內的其他主機都有通信活動,且此時又是ARP病毒發作時期,那麼,病毒源也就是它了。
第三招:使用tracert命令在任意一台受影響的主機上,在DOS命令窗口下運行如下命令:tracert 61.135.179.148。假定設置的預設網關為10.8.6.1,在跟蹤一個外網地址時,第一跳卻是10.8.6.186,那麼,10.8.6.186就是病毒源。原理:中毒主機在受影響主機和網關之間,扮演了「中間人」的角色。所有本應該到達網關的數據包,由於錯誤的MAC地址,均被發到了中毒主機。此時,中毒主機越俎代庖,起了預設網關的作用。
② 在區域網中,有什麼軟體能檢測到哪台PC中了病毒
如果在區域網中部署了網路版的殺毒軟體,那麼在服務端可以查看到安裝有殺毒軟體的各客戶端的查殺情況。這幾乎是唯一一種可以詳細了解區域網中各電腦中毒情況的方法。
對於區域網中的ARP病毒,在掌握網路中各電腦的MAC地址和ip地址的前提下,可以利用區域網ARP欺騙檢測工具來確定ARP攻擊源(如360,聚生網管等),然後利用ARP專殺工具進行殺毒。
③ 怎麼樣查出區域網中木馬的機子我現在所在的區域網內有的機子中木馬了,導致所有電腦都受到感染
首先這個是ARP病毒,解決方法是IP地址mac地址綁定,雙向綁定是最好的方法。如果你是區域網管理員的話,個人建議安裝彩影ARP防火牆設置成合作版以後設置好網關的MAC地址和IP地址,這樣相對來說可以抵擋一部分的攻擊。另外就是個人建議可以給每個機器安裝殺毒軟體,進行查殺,如果有伺服器版本的殺毒軟體的話,可以在伺服器端安裝然後進行調試升級查殺。如果有什麼不明白的地方可以在下邊繼續追問,希望我的回答對你有所幫助。
我本軍團,真誠解答,拒絕復制,希望採納。