如何测试局域网中某台电脑中毒导致网速变慢.doc

如何测试局域网中某台电脑中毒导致网速变慢一、首先诊断是否为 ARP 病毒攻击 1、 当发现上网明显变慢， 或者突然掉线时， 我们可以用 arp-命令来检查 ARP 表： （点击“开始”按钮 - 选择“运行” - 输入“cmd” 点击"确定"按钮，在窗口 中输入“arp -a”命令）如果发现网关的 MAC 地址发生了改变，或者发现有很多 IP 指向同一个物理地址，那么肯定就是 ARP 欺骗所致。 2、利用 Anti ARP Sniffer 软件查看（详细使用略）。 二、找出 ARP 病毒主机 1、用“arp d”命令，只能临时解决上网问题，要从根本上解决问题，就得找 到病毒主机。通过上面的 arp a 命令，可以判定改变了的网关 MAC 地址或多个 IP 指向的物理地址，就是病毒机的 MAC 地址。哪么对应这个 MAC 地址的主机又 是哪一台呢，windows 中有 ipconfig/all 命令查看每台的信息，但如果电脑数 目多话，一台台查下去不是办法，因此可以下载一个叫“NBTSCAN”的软件，它 可以取到 PC 的真实 IP 地址和 MAC 地址。 命令：“nbtscan -r /24”（搜索整个 /24 网段, 即 -54）；或“nbtscan 5-137”搜索 5-137 网段，即 5-37。输出结果第一 列是 IP 地址，最后一列是 MAC 地址。这样就可找到病毒主机的 IP 地址。 2、 如果手头一下没这个软件怎么办呢？这时也可在客户机运行路由跟踪命令如： tracert d ，马上就发现第一条不是网关机的内网 ip，而是本网 段内的另外一台机器的 IP，再下一跳才是网关的内网 IP；正常情况是路由跟踪 执行后的输出第一条应该是默认网关地址，由此判定第一跳的那个非网关 IP 地 址的主机就是罪魁祸首。 当然找到了 IP 之后， 接下来是要找到这个 IP 具体所对应的机子了，如果你每台 电脑编了号，并使用固定 IP，IP 的设置也有规律的话，那么就很快找到了。但 如果不是上面这种情况， 设置又无规律， IP 或者 IP 是动态获取的那该怎么办呢？ 难道还是要一个个去查？非也！你可以这样：把一台机器的 IP 地址设置成与作 祟机相同的相同，然后造成 IP 地址冲突，使中毒主机报警然后找到这个主机。 三、处理病毒主机 1、用杀毒软件查毒，杀毒。 2、建议重装系统，一了百了。（当然你应注意除系统盘外其他盘有无病毒） 四、如何防范 ARP 病毒攻击1、从影响网络连接通畅的方式来看，ARP 欺骗分为二种，一种是对路由器 ARP 表的欺骗；另一种是对内网 PC 的网关欺骗。第一种 ARP 欺骗的原理是截获 网关数据。 它通知路由器一系列错误的内网 MAC 地址，并按照一定的频率不断进 行， 使真实的地址信息无法通过更新保存在路由器中，结果路由器的所有数据只 能发送给错误的 MAC 地址，造成正常 PC 无法收到信息。第二种 ARP 欺骗的原理 是伪造网关。它的原理是建立假网关，让被它欺骗的 PC 向假网关发数据， 而不是通过正常的路由器途径上网。在 PC 看来，就是上不了网了，“网络掉线 了”。 因此很多人建议用户采用双向绑定的方法解决并且防止 ARP 欺骗，这个确 实是最好解决的办法， 但如果电脑数量多的情况下，在路由器上作绑定工作量将 很大，我个人认为主要做好在 PC 上绑定路由器的 IP 和 MAC 地址就行了，在 PC 上绑定可以按下面方法做： 1）首先，获得路由器的内网的 MAC 地址（例如网关地址 54 的 MAC 地址为 0022aa0022ee）。 2）编写一个批处理文件 rarp.bat 内容如下： echo off arp -d arp -s 54 00-22-aa-00-22-ee 将文件中的网关 IP 地址和 MAC 地址更改为您自己的网关 IP 地址和 MAC 地址即可。 将这个批处理软件拖到“windows-开始-程序-启动”中。 这样即减轻了一台台设置的麻烦， 也避免了由于电脑重新启动使得数据又要重做 的麻烦。 当然最好电脑要有还原卡和保护系统，使得这个批处理不会被随意删除 掉。 2、作为网络管理员，我认为应该充分利用一些工具软件，备一些常用的工具， 就 ARP 而言，推荐在手头准备这样几个软件： “Anti ARP Sniffer”（使用 Anti ARP Sniffer 可以防止利用 ARP 技术进行 数据包截取以及防止利用 ARP 技术发送地址冲突数据包，并能查找攻击主机的 IP 及 MAC 地址）。 “NBTSCAN”（NBTSCAN 可以取到 PC 的真实 IP 地址和 MAC 地址，利用它可以 知道局域网内每台 IP 对应的 MAC 地址） “网络执法官” （一款局域网管理辅助软件，采用网络底层协议，能穿透各 客户端防火墙对网络中的每一台主机、交换机等配有 IP 的网络设备进行监控； 采用网卡号（MAC）识别用户，主要功能是依据管理员为各主机限定的权限，实时监控整个局域网， 并自动对非法用户进行管理，可将非法用户与网络中某些主 机或整个网络隔离， 而且无论局域网中的主机运行何种防火墙， 都不能逃避监控， 也不会引发防火墙警告，提高了网络安全性） 3、定时检查局域网病毒，对机器进行病毒扫描，平时给系统安装好补丁程序， 最好是局域网内每台电脑保证有杀毒软件（可升级） 4、指导好网络内使用者不要随便点击打开 QQ、MSN 等聊天工具上发来的链接信 息，不要随便打开或运行陌生、可疑文件和程序，如邮件中的陌生附件，外挂程 序等。 5、建议对局域网的每一台电脑尽量作用固定 IP，路由器不启用 DHCP，对给网内 的每一台电脑编一个号，每一个号对应一个唯一的 IP，这样有利用以后故障的 查询也方便管理。 并利用“NBTSCAN”软件查出每一 IP 对应的 MAC 地址，建立一 个“电脑编号-IP 地址-MAC 地址”一一对应的数据库。51CTO.com 独家特稿】编者导语：很多企业网管人员都痛恨 ARP 攻击，原因是他们 需要经常奔波在解决问题于排查问题之间，很多时候都无可奈何。本文介绍了一款第三方 ARP 防御软件：Anti ARP Sniffer 的详细使用方法，希望本文对各位网络管砣嗽焙?51CTO 广大网友有所帮助。 最近经常接到用户电话抱怨，上网时断时续，反映有时系统还会提示连接受限、根本就 无法获得 IP，网关交换机无法 ping 通，而指示灯状态正常。重启交换机后客户机可以上网， 但很快又涛声依旧！严重影响了企业网络正常使用，还有可能造成经济损失。 根据用户描述的情形和我们多次处理的经验，可以