文档编号:796
浏览:11261 评分:66
最后更新于:2010-12-29
问题:
经常有用户表示内网出现ARP病毒,如何处理,下面给大家演示下如何用科来网络分析系统判断中毒主机。
现象:内网上网慢,经常断线,路由器历史记录中出现以下信息
ARP SPOOF 10.128.103.124
MAC Old 00:01:6c:36:d1:7f
MAC New 00:05:5d:60:c7:18
分析诊断:
1. 在PC上安装科来网络分析系统
2. 启用端口镜像
3. 将PC连接到LAN1口,开启科来网络分析系统,抓包
被攻击的PC如下
最简单的方法是在系统是装NBTSCAN工具,命令行输入以下命令即可找出中毒主机
Nbtscan –r 192.168.16.1 /24
就可以找出中毒主机的MAC地址,和上面现象里的MAC地址对照,这样ARP病毒就
可以解决了。