在局域網(wǎng)內(nèi)如何查殺攻擊病毒呢?以下分兩類(lèi)來(lái)詳細(xì)講解:
ARP 地址攻擊查找流程
1�、如果客戶端PC與網(wǎng)關(guān)無(wú)法通訊,首先在客戶端ping 網(wǎng)關(guān)地址后�����,然后在dos窗口下執(zhí)行 arp –a 查看網(wǎng)關(guān)的mac地址���,記錄下網(wǎng)關(guān)MAC地址��。到交換機(jī)上查找交換機(jī)的MAC地址(例如VLAN1接口)
執(zhí)行 show int vlan 1 查看輸出信息中VLAN1接口MAC���,同時(shí)執(zhí)行 sho
w standby vlan 1 查看HSRP網(wǎng)關(guān)MAC地址。如果客戶端顯示的mac(假設(shè)為00-0d-0a-ac-bc-78)地址與網(wǎng)關(guān)地址不同�,則可能是網(wǎng)關(guān)的MAC遭到ARP病毒攻擊。到交換機(jī)上執(zhí)行show mac-address | in 000d.0aac.bc78 在輸入信息中查找關(guān)聯(lián)該MAC地址的端口��,如果該端口是直連PC或者SERVER的端口�����,那么該端口所連客戶端可能感染ARP類(lèi)病毒��。如果該端口連接的是另外一臺(tái)交換機(jī)�����,那么登陸到那臺(tái)交換機(jī)上執(zhí)行show mac-address | in 000d.0aac.bc78 直到關(guān)聯(lián)端口是直連PC的端口位置。
2�、如果客戶端PC能夠PING 通網(wǎng)關(guān)但是與其他VLAN的機(jī)器PING(假設(shè)該地址為192.168.1.111)不通�����。首先在客戶端ping 192.168.1.111后�����,然后在dos窗口下執(zhí)行 arp –a 查看對(duì)方IP地址對(duì)應(yīng)的mac地址�,記錄下其MAC地址(有可能沒(méi)有信息)�����,同時(shí)在目標(biāo)機(jī)器192.168.1.111上執(zhí)行 ipconfig/all查看該機(jī)器網(wǎng)卡mac地址并記錄下(注意:交換機(jī)上顯示的MAC地址和PC上顯示的MAC地址格式不一樣,交換機(jī)上為4個(gè)16進(jìn)制數(shù)一組并以"."分割�,PC機(jī)上為2個(gè)16進(jìn)制數(shù)為一組以"-"分割)���。在dos窗口下執(zhí)行 tracert –d 192.168.1.111��。查看tracert信息最后一跳到達(dá)哪臺(tái)交換機(jī)���。登陸到那臺(tái)交換機(jī)上執(zhí)行PING 192.168.1.111�,然后執(zhí)行 show arp | in 192.168.1.111 查看輸出信息的mac地址與目標(biāo)機(jī)器(192.168.1.111)的mac地址是否相同�。如果不同(假設(shè)顯示為 000a.da87.5bca),記錄下后執(zhí)行 show mac-address | in 000a.da87.5bca 在輸出信息查看該MAC地址關(guān)聯(lián)到哪個(gè)端口�����,如果關(guān)聯(lián)的端口連接到另外一臺(tái)交換機(jī)上則到那臺(tái)交換機(jī)上執(zhí)行show mac-address | in 000a.da87.5bca�����,最終找到關(guān)聯(lián)端口連接是最終客戶端(PC或者server)的端口�,如果該端口不是真正連接192.168.1.111的端口通常該端口既是感染ARP類(lèi)病毒的機(jī)器�。在交換機(jī)上執(zhí)行 show arp | in 000a.da87.5bca 輸入信息通常會(huì)顯示該MAC會(huì)關(guān)聯(lián)多個(gè)IP地址。
流量攻擊型病毒的查找流程
如果局域網(wǎng)中通訊不正常�、丟包嚴(yán)重�����,登陸到網(wǎng)關(guān)上也會(huì)延遲很大���,通常是局域網(wǎng)中有機(jī)器感染了流量攻擊型病毒�����,該類(lèi)病毒會(huì)發(fā)送大量的小字節(jié)數(shù)據(jù)包消耗網(wǎng)絡(luò)中交換機(jī)��、路由器的帶寬和處理能力�����。查找該類(lèi)病毒也是通過(guò)流量判斷攻擊來(lái)源。在核心交換機(jī)上執(zhí)行clear count 清除當(dāng)前各個(gè)接口上的流量信息�����,20秒鐘后執(zhí)行show interface 查看各個(gè)接口上的流量(數(shù)據(jù)包的數(shù)量���、總字節(jié)數(shù))通常會(huì)有一個(gè)或幾個(gè)端口的數(shù)據(jù)包的數(shù)量相當(dāng)夸張,但是總字節(jié)數(shù)不一定很多�����。如果這個(gè)端口直連PC那么暫時(shí)拔下該端口網(wǎng)線查看網(wǎng)絡(luò)是否回復(fù)正常。如果該端口是連接另外一臺(tái)交換機(jī)那么登陸到那臺(tái)交換機(jī)上依次操作��,先清空各個(gè)端口的統(tǒng)計(jì)數(shù)字�����,20秒鐘后檢查接口流量。直到找到直連PC而且流量相當(dāng)大的機(jī)器���。
如何使HIPS 防止U盤(pán)病毒的入侵
用小工具巧殺計(jì)算機(jī)病毒
Windows 17年的老漏洞(VDM 0day)須警惕
光驅(qū)也瘋狂 Autorun病毒冒充文件夾