200命令行查看内网是否存在病毒.doc_第1页
200命令行查看内网是否存在病毒.doc_第2页
200命令行查看内网是否存在病毒.doc_第3页
200命令行查看内网是否存在病毒.doc_第4页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

命令行查看内网是否存在病毒内网用户不能上网,或者上网异常,但又不知道如何查看,如何解决,那为什么会出现这种情况呢?如何在命令行中更快地查看并发现问题呢?一、 show sess hist 输入此命令后,1、图一 图二如果出现图一、图二两种情况之一,则表明内网可能有ARP欺骗,此时有两种方法可以避免受此病毒的影响:l 做IP/MAC双向绑定;l 内网使用PPPoE拨号上网,前提条件是设备必须支持PPPoE服务器功能。如果已经做了双向绑定,上述信息将不会影响上网,除非那台有病毒的主机关机以后,此信息才会被清除。2、图三出现以上信息,通过show ip nat tr 33来查看192.168.1.33的NAT会话,是出现大量会话呢还是数据有去无回?分为两种:A、 第一种情况,可能超过了用户设置的NAT会话数,有可能是内网用户大量下载,可以对用户整体限速或是限制P2P的速度。B、 第二种情况有可能是内网冲击波或蠕虫病毒;此时可以通过set interface eth/1 rxpps 600命令来设置内网主机单位时间发包的数量为600pps。但是只能暂时缓解并不能根除,最好是让用户在病毒主机上杀毒。3、图四 上图显示的信息表示内网有伪造源地址攻击,开启冲击波病毒(set system antiIpSpoofing yes)即可。二、 show ip nat tr 此命令是查看用户的NAT会话,当用户可以登录QQ但打不开网页的时候,可以在此命令后输入该PC的最后一位IP地址,如查看192.168.1.33的会话,即输入show ip nat tr 33即可,可查看会话是否有去无回。三、 show ip arp a) 查看ARP表如果所有的MAC地址一样,则内网是ARP欺骗,解决方法不再描述,如果如上图显示,出现?pending?状态的用户不能上网,则有以下几种可能:l IP地址或者MAC已经绑定了其他的IP地址导致。l 内网做了IP/MAC绑定,没有选中“只允许IP/MAC绑定的主机通过”那没有绑定的用户就会出现此状态。l 做了绑定,但是在IP/MAC绑定信息列表中,“允许”没有被选中四、 Show ratelimt fi rate查看内网用户是否做了限速,是否有用户的上传/下载量特别大,通过show ip nat tr 来具体查看该PC对应的会话,具体上网的行为,也可以通过mac地址找到该PC,手动操作。五、 进入DEB模式输入deb,进入命令为:lakjas,会出现如下信息:1、 rl debug de命令查看内网是否有udp、icmp、syn flood防御,输入此命令以后没有任何显示,则表示正常,如果出现下图,则表示内网有udp flood 攻击2、(单引号)此命令可以查看每个接口上传下载的速度,如果上传远远大于下载,则表示内网攻击,反之,则有可能是外网攻击,通过查看TX(下载),RX(上传)的speed Kit来判断。3、 filtercm spi info如果对应

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论