POPPUR爱换

 找回密码
 注册

QQ登录

只需一步,快速开始

手机号码,快捷登录

搜索
查看: 3234|回复: 14
打印 上一主题 下一主题

单位网络中了ARP病毒,不知怎么办才好,各位帮帮忙。

[复制链接]
跳转到指定楼层
1#
发表于 2012-10-7 20:02 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
单位有一个网段192.168.1.X,最近中了arp病毒 不知道是那台机子 伪装成192.168.1.2(网关的IP) 搞的很多机子上不了网 特别是win7的 全部上不了 只能打开360的arp防火墙 然后检测出arp攻击 拦截以后就能上外网了
但这样也不是办法 毕竟影响了网速 从防火墙里面可以看到伪装网关的MAC地址 但逐个查了没发现有这个物理地址的网卡主机
各位有什么号办法么?
huxpin 该用户已被删除
2#
发表于 2012-10-7 20:54 | 只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

3#
 楼主| 发表于 2012-10-7 21:05 | 只看该作者
huxpin 发表于 2012-10-7 20:54
ARP防火墙开着就是了,机器不多找起来还方便,多了受不了的。
ARP防火墙影响不大的。

网速影响很大啊 很多人都有意见了
回复 支持 反对

使用道具 举报

4#
发表于 2012-10-7 21:12 来自手机 | 只看该作者
屏蔽此mac试试。
回复 支持 反对

使用道具 举报

5#
发表于 2012-10-7 21:17 | 只看该作者
先把有病毒的电脑拔线了。一台一台的杀毒检查。
回复 支持 反对

使用道具 举报

6#
发表于 2012-10-7 21:23 | 只看该作者
貌似看起来像是有人装了网络管理软件,不让其他人上网,不像是简单的中毒引起的arp攻击。
回复 支持 反对

使用道具 举报

7#
 楼主| 发表于 2012-10-7 21:34 | 只看该作者
skyline 发表于 2012-10-7 21:17
先把有病毒的电脑拔线了。一台一台的杀毒检查。

关键是不知道哪台有病毒啊
回复 支持 反对

使用道具 举报

8#
发表于 2012-10-8 00:57 | 只看该作者
网关和交换机是什么设备?
如果没有高级功能可以协助查找,就只能一个一个的断掉交换机端口查找了(别下通知)。
回复 支持 反对

使用道具 举报

9#
发表于 2012-10-8 20:28 | 只看该作者
给个方法,你试一下,我也经常遇到这种问题。
首先,找一台已经中毒不能上网的电脑,CMD下arp -a 先看一下有哪几个IP,然后arp -d清除;过半分钟再看,多找几台中毒的电脑试以上命令;看哪个IP在经过反复清除后总是会显示出来(除网关外);基本上就八九不离十了。。然后对照IP表(我单位的电脑IP和电脑使用者都采用实名一一对应的,手工指派地址,这样方便排除问题)找出中毒的电脑;但有的时候这样也找不出目标电脑,您可以找一下局域网流量检测的工具,看哪个IP发包量最多最频繁,那就是它了。。我基本都是这样来排除的,希望能帮到你。。。
回复 支持 反对

使用道具 举报

10#
发表于 2012-10-8 20:31 | 只看该作者
一挑三 发表于 2012-10-7 21:34
关键是不知道哪台有病毒啊

那就全拔,一台一台查。
回复 支持 反对

使用道具 举报

11#
发表于 2012-10-8 20:37 | 只看该作者
肯定有人用网络管理软件了 都装ARP 防火墙 基本上就可以判断了
回复 支持 反对

使用道具 举报

huxpin 该用户已被删除
12#
发表于 2012-10-9 20:21 | 只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
回复 支持 反对

使用道具 举报

13#
发表于 2012-10-14 17:47 | 只看该作者
到交换机去看哪个端口闪的最厉害,然后基本就可以确认是那一台了,曾经这样解决过问题,找到装了p2pover主机。
回复 支持 反对

使用道具 举报

14#
发表于 2012-10-17 14:20 | 只看该作者
看哪个连接多,数据频繁直接路由器屏蔽断网。过不了多久就有人找了。
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

广告投放或合作|网站地图|处罚通告|

GMT+8, 2024-11-8 00:33

Powered by Discuz! X3.4

© 2001-2017 POPPUR.

快速回复 返回顶部 返回列表