该病毒的发作表现为:网络中所有电脑上网均通通断断,断几分钟再通几分钟不等;中毒主机不断向网络中的其他正常电脑广播一种ARP欺骗包,伪造网关,使得其他电脑识别到的网关地址被指向到中毒主机。
比如:
局域网网关IP为:192.168.1.1,网关MAC地址为:AA-BB-CC-DD-00-00;
中该病毒的主机A,IP为:192.168.1.5,主机MAC地址为:AA-BB-CC-DD-11-11;
另有一台局域网络中正常使用的主机B,IP为:192.168.1.9。
则:
当病毒发作时,在主机B即192.168.1.9这台电脑上,运行“CMD”进入命令提示符,再使用“ARP -a”命令,将会看到两条记录:
192.168.1.1 AA-BB-CC-DD-11-11
192.168.1.5 AA-BB-CC-DD-11-11
此时我们看到,局域网的网关IP地址与MAC地址,被病毒主机A发出的欺骗包给篡改了,因为正常情况下我们看到的记录应该是如下一条:
192.168.1.1 AA-BB-CC-DD-00-00
因此,通过此办法,应该能够顺利的找出主机A,并将其从网络上隔离开来,杀毒或重装系统后再接到网络上,可恢复正常。
当然,如果公司里面电脑较多,或早期网络管理方面比较杂乱,不好确定该IP对应哪台主机时,可以从交换机上先拔掉部分电脑的网线,拔掉这些后其他电脑还会中断,那说明拔掉的这些网线对应的电脑应该是没问题的;通过这样分批次的手工排查,直到确定中毒主机为止,也不失为一种办法^_^。
最后,当病毒发作时,“PING”局域网网关是不通的。 |