服务器被ddos攻击怎么查看ip被ddos攻击了怎么查

电脑被攻击了，怎么才能查出对方的ip？

对于这样的攻击，我们的措施是在IIS上解绑这个域名，让CC攻击失去目标。具体操作步骤如下:打开IISManager，定位具体站点，右键属性打开该站点的属性面板，点击IP地址右侧的高级按钮，选择要编辑的域名，删除或更改主机头值为另一个值(域名)。

实例测试表明，取消附加域后，Web服务器的CPU立即恢复正常状态，所有通过IP的访问和连接都正常。但是，缺点也很明显。取消或更改域名将保持其他人的访问不变。另外，对于针对IP的CC攻击无效。即使更改域名的攻击者发现了，他也会攻击新的域名。

(2)域名欺骗分析

如果发现针对域名的CC攻击，我们可以将被攻击的域名解析到地址127001。我们知道127001是本地环回IP，用于网络测试。如果被攻击的域名解析到这个IP，攻击者就可以攻击自己，这样无论他有多少鸡或者代理，都会被打倒，让自己遭殃。另外，当我们的Web服务器被CC攻击时，我们把被攻击的域名解析到权威的政府网站或者网警的网站，让网警来清理。现在一般的网站都是使用类似“新网”这样的服务商提供的动态域名解析服务，你登录设置就可以了。

(3)更改Web端口

正常情况下，Web服务器通过80端口向外界提供服务，所以攻击者用默认的80端口进行攻击。因此，我们可以修改Web端口来防止CC攻击。运行IIS管理器，导航到相应的站点，并打开该站点的“属性”面板。“网站ID”下有一个TCP端口，默认值为80，我们可以将其更改为另一个端口。(4)IIS屏蔽IP如果通过命令或查看日志找到CC攻击的来源IP，可以在IIS中设置屏蔽该IP对网站的访问，从而达到防范IIS攻击的目的。在相应站点的“属性”面板中，点击“目录安全”选项卡，点击“现在IP地址和域名”下的“编辑”按钮，打开设置对话框。在此窗口中，我们可以设置“授权访问”，即白名单，或“拒绝访问”，即黑名单。例如，我们可以将攻击者的IP添加到“拒绝访问”列表中，从而阻止该IP访问Web。(5)IPSec阻止IPSec是一个优秀的系统防火墙。在排除其他DDOS攻击时，可以设置IP策略来应对CC攻击。拿219128的IP。43为例，作者实际上屏蔽了对该IP的访问。

第一步:“开始→管理工具”，打开“本地安全设置”，右键“IP安全策略，在本地机器上”，选择“创建IP安全策略”，然后点击“下一步”，输入策略的名称和描述。然后，默认情况下，“Next”会创建一个名为“BlockingCCAttack”的IPSec策略。

第2步:在本地计算机上，右键单击IP安全策略，选择管理IP筛选器表和筛选器操作，在打开的窗口中单击添加，并在IP筛选器列表窗口中添加与第一步相同的名称和描述信息。取消选中“使用添加向导”，然后单击“添加”。在IP过滤器属性窗口的地址选项下，将源地址设置为“19216816”，目的地址设置为“我的IP地址”，取消选中“镜像”；单击协议选项卡，将协议类型设置为TCP，并将协议端口设置为从任何端口到此端口80，然后退出。

第三步:在“新规则属性”窗口中单击新创建的“拦截CC攻击”规则，在“过滤器操作”选项卡下单击“添加”，在“安全措施”下单击“拦截”，在“常规”选项卡下将过滤器命名为“拦截CC攻击”，然后确认退出。步骤4:单击刚刚创建的“BlockCCAttack”过滤器，并在IP策略编辑器中一直单击“OK”。可以看到在组策略窗口中已经成功创建了一个名为“BlockCCAttack”的策略，然后右键单击该策略，选择“Assign”。这样，IP就被屏蔽了。(6)除上述方法外，防火墙还可以由第三方防火墙来保护。只要打开防护墙防火墙。

穿越火线能不能查登陆IP地址？

穿越火线能查登陆IP地址。

因为穿越火线是可以快速进行升级的，同时搭载了最先进的登录功能系统，并且速度快，所以是能的。

别人用路由器蹭网，我想知道对方路由器的登录ip地址？

一般别人使用无线路由器来连接你的路由器进行蹭网的话。那么你的无线路由器里面连接的设备就可以查询到的。根据连接设备的MAC地址可以在路由器的系统工具—流量统计里面可以查看到IP地址的。

ip有可疑的攻击行为怎么解决？

1、按键Win+R打开运行

2、输入gpeditmsc，点击确定

3、依次点击打开计算机配置-用户配置-管理模块-网络连接

4、禁止访问LAN连接组件的属性

5、勾选设置界面中的未配置

6、最后点击确定即可

常见 TCP/IP 协议攻击方法分析

21 IP 欺骗( IP Spoofing)

IP 欺骗是指一个攻击者假冒一个主机或合法用户的 IP 地址，利用两个主机之间的信任关系来达到攻击的目的，而这种信任关系只是根据源 IP 地址来确定。所谓信任关系是指当主机 B 信任主机 A 上的 X用户时，只要 X 在 A 上登录， X 用户就可以直接登录到主机 B 上，而不需要任何口令。

IP 欺骗通常需要攻击者能构造各种形式 IP 数据包，用虚假的源 IP 地址替代自己的真实 IP 地址。如果主机之间存在基于 IP 地址的信任关系，目标主机无法检测出已经被欺骗。

防范措施

各个网络 ISP 应该限制源地址为外部地址的 IP 数据包进入互联网

合理的配置防火墙，限制数据包的源地址为内部网络的数据包进入网络。

22 TCP 会话劫持 (TCP sessJOn hijacking)

TCP 会话劫持跳过连接过程对一个已经建立的连接进行攻击。攻击者与被假冒主机和目标主机之一在同一个子网中，攻击者通过一个嗅探程序可以看到被假冒主机和目标主机之间通信的数据包。

攻击者看到被假冒主机和目标主机建立一个连接并进行身份认证后，通过对数据包捕获和进行分析，就可以得到连接的序列号。

一旦得到正确的序列号就可以发送一个假冒的 TCP 分段，接管已经建立的连接。这样，被假冒主机发送的数据包都会被目标主机忽略，因为它们的序列号会被目标主机认为不正确。

防范措施

最主要的方法是在传输层对数据进行加密。

23 拒绝服务( Denial Of Service )

拒绝服务坷的目的就是使受害的服务器不能提供正常的网络服务。

231 SYN 淹没 (SYN Flooding)

当开放了一个TCP端口后，该端口就处于Listening状态，不停地监视发到该端口的Syn报文，一旦接收到Client发来的Syn报文，就需要为该请求分配一个TCB（Transmission Control Block），通常一个TCB至少需要280个字节，在某些操作系统中TCB甚至需要1300个字节，并返回一个SYN ACK命令，立即转为SYN-RECEIVED即半开连接状态，而操作系统在SOCK的实现上最多可开启半开连接个数是一定的。

从以上过程可以看到，如果恶意的向某个服务器端口发送大量的SYN包，则可以使服务器打开大量的半开连接，分配TCB，从而消耗大量的服务器资源，同时也使得正常的连接请求无法被相应。而攻击发起方的资源消耗相比较可忽略不计。

防范措施

无效连接监视释放

这种方法不停监视系统的半开连接和不活动连接，当达到一定阈值时拆除这些连接，从而释放系统资源。这种方法对于所有的连接一视同仁，而且由于SYN Flood造成的半开连接数量很大，正常连接请求也被淹没在其中被这种方式误释放掉，因此这种方法属于入门级的SYN Flood方法。

延缓TCB分配方法

从前面SYN Flood原理可以看到，消耗服务器资源主要是因为当SYN数据报文一到达，系统立即分配TCB，从而占用了资源。而SYN Flood由于很难建立起正常连接，因此，当正常连接建立起来后再分配TCB则可以有效地减轻服务器资源的消耗。常见的方法是使用Syn Cache和Syn Cookie技术。

Syn Cache技术：

这种技术是在收到SYN数据报文时不急于去分配TCB，而是先回应一个SYN ACK报文，并在一个专用HASH表（Cache）中保存这种半开连接信息，直到收到正确的回应ACK报文再分配TCB。在FreeBSD系统中这种Cache每个半开连接只需使用160字节，远小于TCB所需的736个字节。在发送的SYN ACK中需要使用一个己方的Sequence Number，这个数字不能被对方猜到，否则对于某些稍微智能一点的Syn Flood攻击软件来说，它们在发送Syn报文后会发送一个ACK报文，如果己方的Sequence Number被对方猜测到，则会被其建立起真正的连接。因此一般采用一些加密算法生成难于预测的Sequence Number。

Syn Cookie技术：

对于SYN攻击，Syn Cache虽然不分配TCB，但是为了判断后续对方发来的ACK报文中的Sequence Number的正确性，还是需要使用一些空间去保存己方生成的Sequence Number等信息，也造成了一些资源的浪费。

Syn Cookie技术则完全不使用任何存储资源，这种方法比较巧妙，它使用一种特殊的算法生成Sequence Number，这种算法考虑到了对方的IP、端口、己方IP、端口的固定信息，以及对方无法知道而己方比较固定的一些信息，如MSS、时间等，在收到对方的ACK报文后，重新计算一遍，看其是否与对方回应报文中的（Sequence Number-1）相同，从而决定是否分配TCB资源。

点击开始→运行→cmd→输入 ping 加他的IP -l size -t

以下可借鉴:

下面介绍一种WIN9X下的入侵方法: 1取得对方IP地址如XXXXXXXX，方法太多不细讲了。 2判断对方上网的地点，开个DOS窗口键入 TRACERT XXXXXXXX 第4和第5行反映的信息既是对方的上网地点。 3得到对方电脑的名称，开个DOS窗口键入 NBTSTAT -A XXXXXXXX 第一行是对方电脑名称 第二行是对方电脑所在工作组第三行是对方电脑的说明 4在Windows目录下有一文件名为LMHOSTSSAM，将其改名为LMHOSTS，删除其内容，将对方的IP及电脑名按以下格式写入文件： XXXXXXXX 电脑名 5开DOS窗口键入 NBTSTAT -R 6在开始-查找-电脑中输入对方电脑名，出现对方电脑点击即可进入。以上方法请不要乱用，本人对你用上面的方法所惹出的麻烦概不负责，请慎重。 对付上面进攻的最好办法就是隐藏你的IP地址。

ping 命令的用法Ping

��Ping是个使用频率极高的实用程序，用于确定本地主机是否能与另一台主机交换（发送与接收）数据报。根据返回的信息，你就可以推断TCP/IP参数是否设置得正确以及运行是否正常。需要注意的是：成功地与另一台主机进行一次或两次数据报交换并不表示TCP/IP配置就是正确的，你必须执行大量的本地主机与远程主机的数据报交换，才能确信TCP/IP的正确性。

��简单的说，Ping就是一个测试程序，如果Ping运行正确，你大体上就可以排除网络访问层、网卡、MODEM的输入输出线路、电缆和路由器等存在的故障，从而减小了问题的范围。但由于可以自定义所发数据报的大小及无休止的高速发送，Ping也被某些别有用心的人作为DDOS（拒绝服务攻击）的工具，前段时间Yahoo就是被黑客利用数百台可以高速接入互联网的电脑连续发送大量Ping数据报而瘫痪的。

��按照缺省设置，Windows上运行的Ping命令发送4个ICMP（网间控制报文协议）回送请求，每个32字节数据，如果一切正常，你应能得到4个回送应答。

��Ping能够以毫秒为单位显示发送回送请求到返回回送应答之间的时间量。如果应答时间短，表示数据报不必通过太多的路由器或网络连接速度比较快。Ping还能显示TTL（Time To Live存在时间）值，你可以通过TTL值推算一下数据包已经通过了多少个路由器：源地点TTL起始值（就是比返回TTL略大的一个2的乘方数）-返回时TTL值。例如，返回TTL值为119，那么可以推算数据报离开源地址的TTL起始值为128，而源地点到目标地点要通过9个路由器网段（128-119）；如果返回TTL值为246，TTL起始值就是256，源地点到目标地点要通过9个路由器网段。

通过Ping检测网络故障的典型次序

��正常情况下，当你使用Ping命令来查找问题所在或检验网络运行情况时，你需要使用许多Ping命令，如果所有都运行正确，你就可以相信基本的连通性和配置参数没有问题；如果某些Ping命令出现运行故障，它也可以指明到何处去查找问题。下面就给出一个典型的检测次序及对应的可能故障：

ping 127001--这个Ping命令被送到本地计算机的IP软件，该命令永不退出该计算机。如果没有做到这一点，就表示TCP/IP的安装或运行存在某些最基本的问题。

ping 本机IP--这个命令被送到你计算机所配置的IP地址，你的计算机始终都应该对该Ping命令作出应答，如果没有，则表示本地配置或安装存在问题。出现此问题时，局域网用户请断开网络电缆，然后重新发送该命令。如果网线断开后本命令正确，则表示另一台计算机可能配置了相同的IP地址。

ping 局域网内其他IP--这个命令应该离开你的计算机，经过网卡及网络电缆到达其他计算机，再返回。收到回送应答表明本地网络中的网卡和载体运行正确。但如果收到0个回送应答，那么表示子网掩码（进行子网分割时，将IP地址的网络部分与主机部分分开的代码）不正确或网卡配置错误或电缆系统有问题。

ping 网关IP--这个命令如果应答正确，表示局域网中的网关路由器正在运行并能够作出应答。

ping 远程IP--如果收到4个应答，表示成功的使用了缺省网关。对于拨号上网用户则表示能够成功的访问Internet（但不排除ISP的DNS会有问题）。

ping localhost--localhost是个作系统的网络保留名，它是127001的别名，每太计算机都应该能够将该名字转换成该地址。如果没有做到这一带内，则表示主机文件（/Windows/host）中存在问题。

ping wwwyahoocom--对这个域名执行Pin 地址，通常是通过DNS 服务器 如果这里出现故障，则表示DNS服务器的IP地址配置不正确或DNS服务器有故障（对于拨号上网用户，某些ISP已经不需要设置DNS服务器了）。顺便说一句：你也可以利用该命令实现域名对IP地址的转换功能。

��如果上面所列出的所有Ping命令都能正常运行，那么你对你的计算机进行本地和远程通信的功能基本上就可以放心了。但是，这些命令的成功并不表示你所有的网络配置都没有问题，例如，某些子网掩码错误就可能无法用这些方法检测到。

Ping命令的常用参数选项

ping IP -t--连续对IP地址执行Ping命令，直到被用户以Ctrl+C中断。

ping IP -l 2000--指定Ping命令中的数据长度为2000字节，而不是缺省的32字节。

ping IP -n--执行特定次数的Ping命令。

Netstat ��Netstat用于显示与IP、TCP、UDP和ICMP协议相关的统计数据，一般用于检验本机各端口的网络连接情况。

如果你的计算机有时候接受到的数据报会导致出错数据删除或故障，你不必感到奇怪，TCP/IP可以容许这些类型的错误，并能够自动重发数据报。但如果累计的出错情况数目占到所接收的IP数据报相当大的百分比，或者它的数目正迅速增加，那么你就应该使用Netstat查一查为什么会出现这些情况了。

---------------------

ping的几个常见用法

用了这么久的ping命令，这是我第一次把相关的经验总结写出来，希望大家喜欢。

先来说说ping的工作原理：

ping的过程实际上就是一个发送icmp echo请求的过程，发送该数据包到被ping 的一方，要求对方响应并回答该数据包，对方收到后，当然就老老实实地答复你了，也许大家奇怪，为什么从ping的结果中会得到ip地址，这是因为，对方做出的icmp响应并不能简单地用icmp进行封包就进行传输，而是要经过ip协议进行封装并传输的，学过tcp/ip的人都知道，在ip协议对数据包进行封装的时候，会自动将目的地址和源地址写进包头，这样一来，在回应的信息中我们就可以看到对方的ip地址了 。

一个ping的返回结果：

c:\>ping python

pinging python [19216802] with 32 bytes of data:

reply from 19216802: bytes=32 time<10ms ttl=255

reply from 19216802: bytes=32 time<10ms ttl=255

reply from 19216802: bytes=32 time<10ms ttl=255

reply from 19216802: bytes=32 time<10ms ttl=255

ping statistics for 19216802:

packets: sent = 4, received = 4, lost = 0 (0% loss),

approximate round trip times in milli-seconds:

minimum = 0ms, maximum = 0ms, average = 0ms

从上面这个结果中我们除了获得ip地址，还可以获得ttl（time to life，生命周期），ttl是每经过一个路由器就会被减一的一个值，通过ttl的值我们可以简单地判断对方的操作系统和经过的路由器的个数。

默认情况下ttl=128为windows，而ttl=255为unix

接下来看一下ping的几个参数（这里针对几个比较有用的讲一讲）：

options:

-t 加上该参数，就是不断地ping对方，直到按ctrl+c结束

-a 这个参数是解析主机名到ip地址，如下例：

c:\>ping -a 19216802 -n 1

pinging python [19216802] with 32 bytes of data:

reply from 19216802: bytes=32 time<10ms ttl=255

ping statistics for 19216802:

packets: sent = 1, received = 1, lost = 0 (0% loss),

approximate round trip times in milli-seconds:

minimum = 0ms, maximum = 0ms, average = 0ms

注意看这一行“pinging python [19216802] with 32 bytes of data:”得到主机名python

注意：这个参数只有在局域网内才起作用的

-n count 这个参数可以定制数据echo请求数据包的发送个数，例如上面，我使用-n 1

-l size 该参数定制发送数据包的大小，windows中最大为65500，命令格式：ping ip -l 65500

默认发送的数据包大小为32bytes

-f 在网络上传输数据的时候，当数据包的大小超过网络的允许大小的时候，就要进行分段， 然而，该参数的作用就是不允许发送的数据包分段。建议不要使用这个，因为，如果不了 解网络对数据包大小的要求的话，设置该位可能会导致数据无法传输，下面两个结果大家 可以比较一下：

例1：

c:\>ping 19216801 -l 64 -n 1 -f

pinging 19216801 with 64 bytes of data:

reply from 19216801: bytes=64 time<10ms ttl=128

ping statistics for 19216801:

packets: sent = 1, received = 1, lost = 0 (0% loss),

approximate round trip times in milli-seconds:

minimum = 0ms, maximum = 0ms, average = 0ms

例2：

c:\>ping 19216801 -l 1500 -n 1 -f

pinging 19216801 with 1500 bytes of data:

packet needs to be fragmented but df set（这句话的意思就是，网络要求分段，而该数据中的分段位又被 设置为不允许分段，这就导致数据无法传送）

ping statistics for 19216801:

packets: sent = 1, received = 0, lost = 1 (100% loss),

approximate round trip times in milli-seconds:

minimum = 0ms, maximum = 0ms, average = 0ms

大家有兴趣可以试试，这样多试几次可以试出在你的网络中数据包每段大概被分为多大（不过很辛苦哦）。

-i ttl 这是用来设置生命周期（ttl）的，没什么好说的吧，如果不懂的再问吧

-v tos 设置tos（服务类型）的，对此不多阐述，因为关于tos虽然见的不多，但是，其实是有很 多东西值得讲的，如果多说就说不完了，而且也不好叙述，所以大家看一下相关书籍了解 一下，关于这方面有不懂的再提问吧。

-r count 这个参数很有意思，有点类似tracert了，作用就是记录经过的路由器，拿个例子来：

c:\>ping 19216801 -r 1 -n 1

pinging 19216801 with 32 bytes of data:

reply from 19216801: bytes=32 time<10ms ttl=128

route: 19216801

ping statistics for 19216801:

packets: sent = 1, received = 1, lost = 0 (0% loss),

approximate round trip times in milli-seconds:

minimum = 0ms, maximum = 0ms, average = 0ms

注意这一行“route: 19216801”这就是经过的路由器，因为我这里只有两台计算机，没有路由器，所以记录下来的就是默认路由了（也就是被ping主机本身）。大家可以这样做：ping http://wwwsinacomcn -r 9

会记录经过的9部路由器的地址哦 ……

注意：-r参数后面的值最小为1，最大为9，也就是说，最多只能记录9台（这就不如tracert命令了）。

-w timeout 这个就是用来设置超时的。

c:\>ping 19216801 -w 1 -n 1

pinging 19216801 with 32 bytes of data:

reply from 19216801: bytes=32 time<10ms ttl=128

ping statistics for 19216801:

packets: sent = 1, received = 1, lost = 0 (0% loss),

approximate round trip times in milli-seconds:

minimum = 0ms, maximum = 0ms, average = 0ms

这个没有什么好说的吧，如果感觉线路不怎么样，传输速度比较慢，那么，把这个值设置得大一些。

注意：该值后面的timeout的单位是毫秒（ms）

　　SHELL，网上这样的全自动抓鸡工具很多，大家可以上网搜索，不要怕有病毒，最好是找好点的黑客网站，比如这个，

1这里推荐大家一款全能软件：流光，查找漏洞、端口，绝对有效果；有的PC是局域网里的，那就可以

2通过入侵局域网里的其他电脑，然后ARP欺骗，也能达到入侵的目的，局域网里的情况很多，可能有的电脑还对此电脑开

放共享等等，情况很多，这里就不多说了。

3再说说入侵服务器IP，服务器都是挂网站的，很多网站都是挂在一个服务器上的，可以用旁注工具进行查找，找到网站的漏洞，像有的网站在主页上就有网站后台的选项，网站后台的账号和密码都是默认的（这里提醒一下那些网管，不要了吧，呵呵。还有的网站直接就有注入点，那样入侵就很简单了，中国的网站防护真的是……有的服务器好点的，网站只

挂了一个，还可能没漏洞，服务器本身也没有端口弱口令漏洞，那就只能入侵局域网里的网站，再ARP了，和上面入侵PC

4局域网的方法差不多。

其实大家看完后就知道了，入侵指定IP其实就是对你抓鸡技术的综合运用的考验，一定要认真对到每次入侵的过程，

多总结经验，文章只是参考，转化成自己的东西才是关键。

具体的情况和步骤：

1、首先先确定在局域网有没有和这台电脑设置了同一个IP地址。

2、如没有就说明中了ARP病毒故障原因。

1）主要原因是在局域网中有人使用了ARP欺骗的木马程序,比如一些盗号的软件。　

传奇外挂携带的ARP木马攻击,当局域网内使用外挂时，外挂携带的病毒会将该机器的MAC地址映射到网关的IP地址上，向局域网内大量发送ARP包，致同一网段地址内的其它机器误将其作为网关，掉线时内网是互通的，计算机却不能上网。

2）方法是在能上网时，进入MS-DOS窗口，输入命令：arp –a查看网关IP对应的正确MAC地址，将其记录，如果已不能上网，则先运行一次命令arp –d将arp缓存中的内容删空，计算机可暂时恢复上网，一旦能上网就立即将网络断掉，禁用网卡或拔掉网线，再运行arp –a。

3、如已有网关的正确MAC地址，在不能上网时，手工将网关IP和正确MAC绑定，可确保计算机不再被攻击影响。可在MS-DOS窗口下运行以下命令：arp –s 网关IP 网关MAC。如被攻击，用该命令查看，会发现该MAC已经被替换成攻击机器的MAC，将该MAC记录，以备查找。找出病毒计算机：如果已有病毒计算机的MAC地址，可使用NBTSCAN软件找出网段内与该MAC地址对应的IP，即病毒计算机的IP地址。

4、故障现象

1）当局域网内有某台电脑运行了此类ARP欺骗的木马的时候，其他用户原来直接通过路由器上网现在转由通过病毒主机上网，切换的时候用户会断一次线。

2）切换到病毒主机上网后，如果用户已经登陆了传奇服务器，那么病毒主机就会经常伪造断线的假像，那么用户就得重新登录传奇服务器，这样病毒主机就可以盗号了。

3）由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞，用户会感觉上网速度越来越慢。当木马程序停止运行时，用户会恢复从路由器上网，切换中用户会再断一次线。

4）该机一开机上网就不断发Arp欺骗报文，即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文，甚至假冒该子网网关物理地址蒙骗其它机器，使网内其它机器改经该病毒主机上网，这个由真网关向假网关切换的过程中其它机器会断一次网。倘若该病毒机器突然关机或离线，则其它机器又要重新搜索真网关，于是又会断一次网。所以会造成某一子网只要有一台或一台以上这样的病毒机器，就会使其他人上网断断续续，严重时将使整个网络瘫痪。这种病毒（木马）除了影响他人上网外，也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码（如QQ和网络游戏等的帐号和密码）为目的，而且它发的是Arp报文，具有一定的隐秘性，如果占系统资源不是很大，又无防病毒软件监控，一般用户不易察觉。这种病毒开学初主要发生在学生宿舍，据调查，现在已经在向办公区域和教工住宅区域蔓延，而且呈越演越烈之势。

1、你所知道的1921681254的IP地址，只是路由器的网关地址。亦即是路由的内网IP地址。

2、而远程攻击首要知道的是该路由器的公网IP地址。不过就算知道路由器的公网IP，因绝大多数路由器是PPPOE宽带上网，公网IP地址是每次联接上网都不会相同。而且路由器断网会自动重新连接，再获取另一个不同的公网IP。所以对于这类路由器的远程攻击。作用不大。