POPPUR爱换

标题: 单位网络中了ARP病毒，不知怎么办才好，各位帮帮忙。 [打印本页]

作者: 一挑三 时间: 2012-10-7 20:02
标题: 单位网络中了ARP病毒，不知怎么办才好，各位帮帮忙。
单位有一个网段192.168.1.X，最近中了arp病毒不知道是那台机子伪装成192.168.1.2（网关的IP）搞的很多机子上不了网特别是win7的全部上不了只能打开360的arp防火墙然后检测出arp攻击拦截以后就能上外网了
但这样也不是办法毕竟影响了网速从防火墙里面可以看到伪装网关的MAC地址但逐个查了没发现有这个物理地址的网卡主机
各位有什么号办法么？

作者: huxpin 时间: 2012-10-7 20:54
提示: 作者被禁止或删除内容自动屏蔽

作者: 一挑三 时间: 2012-10-7 21:05

huxpin 发表于 2012-10-7 20:54
ARP防火墙开着就是了，机器不多找起来还方便，多了受不了的。
ARP防火墙影响不大的。

网速影响很大啊很多人都有意见了

作者: 卜嘎 时间: 2012-10-7 21:12
屏蔽此mac试试。

作者: skyline 时间: 2012-10-7 21:17
先把有病毒的电脑拔线了。一台一台的杀毒检查。

作者: smty1111 时间: 2012-10-7 21:23
貌似看起来像是有人装了网络管理软件，不让其他人上网，不像是简单的中毒引起的arp攻击。

作者: 一挑三 时间: 2012-10-7 21:34

skyline 发表于 2012-10-7 21:17
先把有病毒的电脑拔线了。一台一台的杀毒检查。

关键是不知道哪台有病毒啊

作者: cuggiv 时间: 2012-10-8 00:57
网关和交换机是什么设备？
如果没有高级功能可以协助查找，就只能一个一个的断掉交换机端口查找了（别下通知

）。

作者: 男人真他娘累 时间: 2012-10-8 20:28
给个方法，你试一下，我也经常遇到这种问题。
首先，找一台已经中毒不能上网的电脑，CMD下arp -a 先看一下有哪几个IP，然后arp -d清除；过半分钟再看，多找几台中毒的电脑试以上命令；看哪个IP在经过反复清除后总是会显示出来（除网关外）；基本上就八九不离十了。。然后对照IP表（我单位的电脑IP和电脑使用者都采用实名一一对应的，手工指派地址，这样方便排除问题）找出中毒的电脑；但有的时候这样也找不出目标电脑，您可以找一下局域网流量检测的工具，看哪个IP发包量最多最频繁，那就是它了。。我基本都是这样来排除的，希望能帮到你。。。

作者: skyline 时间: 2012-10-8 20:31

一挑三发表于 2012-10-7 21:34
关键是不知道哪台有病毒啊

那就全拔，一台一台查。

作者: dzj2007 时间: 2012-10-8 20:37
肯定有人用网络管理软件了都装ARP 防火墙基本上就可以判断了

作者: huxpin 时间: 2012-10-9 20:21
提示: 作者被禁止或删除内容自动屏蔽

作者: gdlbh 时间: 2012-10-14 17:47
到交换机去看哪个端口闪的最厉害，然后基本就可以确认是那一台了，曾经这样解决过问题，找到装了p2pover主机。

作者: znyh001 时间: 2012-10-17 14:20
看哪个连接多，数据频繁直接路由器屏蔽断网。过不了多久就有人找了。

欢迎光临 POPPUR爱换 (https://we.poppur.com/)