公司局域网中毒怎么办
问题一:公司局域网内的一台电脑中毒了,老是向其他电脑发ARP攻击,怎么办 你看看这个帖子~~~如何解决并不是最主要的,有了相关知识才是最重要的
什么是ARP协议
要想了解ARP欺骗攻击的原理,首先就要了解什么是ARP协议。ARP是地址转换协议的英文缩写,它是一个链路层协议,工作在OSI模型的第二层,在本层和硬件接口间进行联系,同时为上层(网络层)提供服务。
我们知道,二层的以太网交换设备并不能识别32位的IP地址,它们是以48位以太网地址(就是我们常说的MAC地址)传输以太网数据包的。因此IP地址与MAC地址之间就必须存在一种对应关系,而ARP协议就是用来确定这种对应关系的协议。
ARP工作时,首先请求主机发送出一个含有所希望到达的IP地址的以太网广播数据包,然后目标IP的所有者会以一个含有IP和MAC地址对的数据包应答请求主机。这样请求主机就能获得要到达的IP地址对应的MAC地址,同时请求主机会将这个地址对放入自己的ARP表缓存起来,以节约不必要的ARP通信。ARP缓存表采用了老化机制,在一段时间内如果表中的某一行没有使用(Windows系统这个时间为2分钟,而Cisco路由器的这个时间为5分钟),就会被删除。通过下面的例子我们可以很清楚地看出ARP的工作机制。
假定有如下五个IP地址的主机或者网络设备,它们分别是:
主机A 19216812
主机B 19216813
网关C 19216811
主机D 10112
网关E 10111
假如主机A要与主机B通信,它首先会检查自己的ARP缓存中是否有19216813这个地址对应的MAC地址,如果没有它就会向局域网的广播地址发送ARP请求包,大致的意思是19216813的MAC地址是什么请告诉19216812,而广播地址会把这个请求包广播给局域网内的所有主机,但是只有19216813这台主机才会响应这个请求包,它会回应19216812一个ARP包,大致的意思是19216813的MAC地址是02-02-02-02-02-02。这样的话主机A就得到了主机B的MAC地址,并且它会把这个对应的关系存在自己的ARP缓存表中。之后主机A与主机B之间的通信就依靠两者缓存表里的MAC地址来通信了,直到通信停止后2分钟,这个对应关系才会从表中被删除。
再来看一个非局域网内部的通信过程。假如主机A需要和主机D进行通信,它首先会发现这个主机D的IP地址并不是自己同一个网段内的,因此需要通过网关来转发,这样的话它会检查自己的ARP缓存表里是否有网关19216811对应的MAC地址,如果没有就通过ARP请求获得,如果有就直接与网关通信,然后再由网关C通过路由将数据包送到网关E,网关E收到这个数据包后发现是送给主机D(10112)的,它就会检查自己的ARP缓存,看看里面是否有10112对应的MAC地址,如果没有就使用ARP协议获得,如果有就是用该MAC地址与主机D通信。
通过上面的例子我们知道,在以太局域网内数据包传输依靠的是MAC地址,IP地址与MAC对应的关系依靠ARP表,每台主机(包括网关)都有一个ARP缓存表。在正常情况下这个缓存表能够有效保证数据传输的一对一性,像主机B之类的是无法截获A与D之间的通信信息的。
但是主机在实现ARP缓存表的机制中存在一个不完善的地方,当主机收到一个ARP的应答包后,它并不会去验证自己是否发送过这个ARP请求,而是直接将应答包里的MAC地址与IP对应的关系替换掉原有的ARP缓存表里的相应信息。这就导致主机B截>>
问题二:局域网服务器中毒怎么杀? 您好:
这样的情况您可以使用腾讯电脑管家对您公司的服务器进行一下全面的杀毒,打开腾讯电脑管家中的杀毒功能选择闪电查杀或者全盘查杀就可以的哦,腾讯电脑管家是采用“4+1”核“芯”杀毒引擎的专业杀毒软件,是完全可以帮助您查杀病毒的,您可以点击这里下载最新版的腾讯电脑管家:最新版腾讯电脑管家下载
腾讯电脑管家企业平台:zhidaobaidu/c/guanjia/
问题三:如何查找局域网中毒计算机 局域网的机子中毒,一般中毒的机子都会向整个局域网广播包,或者发ARP攻击来伪装成网关。这样的话,可以把所有的机子都打开,等一会儿之后,在一个确认无毒的机子随便打开一个网页,然后查看查看它的ARP缓存“arp -a,列表里面通常只会有网关的IP和MAC记录,不会有其它的机子的,如果有其它的记录的话,那些记录所代表的机子通常都会有一些问题。
这种方法是一个比较取巧的方法,如果你开了其它的局域网的应用程序,也可能会在ARP缓存表里面保存其它机子的信息。
呼!累死我了,给我个最佳吧
问题四:单位局域网病毒怎么处理 这是一种常见的通过更改系统时间,使杀毒软件过期、系统停止保护的病毒。
我以前和你遇见一模一样的情况。 当时解决问题的方法是:
1 立即断网,避免重要资料信息的泄露。
2 更改系统时间于当前日期,修复杀毒软件。(病毒库保留)
触 立即重起进入安全模式,全面杀毒。
然后系统就恢复正常了,但是如果你对系统不放心,心理存在阴影。可以选择重新安装系统,但是这样的方案对于单位来说,工作量比较大。
面对目前的情况,不需要去找到源头电脑,如果可能,请尽快在短时间内,找出中毒机器的数量,并将所有中毒机器的内网断掉(拔网线)。一一按上面方法杀毒,工作量有点大,但是没有更好的方法。
如果你安装的是瑞星服务器控制的杀毒软件,可以通过服务器对所有客户端强制杀毒一次。
问题五:局域网内某台电脑中毒会影响网络吗 楼主你好,根据你的描述很可能是某台电脑中了ARP病毒导致的,解决方法是首先在某一台电脑上安装防护ARP病毒的软件,然后将其他电脑全部打开观察该软件的报警记录,其中将会有是哪台电脑发起的ARP攻击(看到的是IP地址),然后根据IP地址找到对应哪一台家中的电脑,对该电脑进行杀毒,清除上面的ARP病毒。
问题六:电脑一直弹出arp攻击,我的电脑在公司的局域网中,是我的中毒了?还是谁的,怎么处理? 5分 如果怀疑系统存在病毒,建议您安装瑞星杀毒软件V16版本升级到最新病毒库后进行病毒扫描查杀,下载地址:pcrising/
ARP欺骗方式共分为两种:一种是对路由器ARP表的欺骗,该种攻击截获网关数据。通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息,导致上网时断时通或上不了网;另一种是对内网PC的网关欺骗,仿冒网关的mac地址,发送arp包欺骗别的客户端,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网,造成上网时断时通或上不了网。针对这种情况瑞星公司提供以下解决办法:方法一、在收到ARP欺骗的本机,在开始--运行中,输入“cmd”,进入ms-dos,通过命鸡行窗口输入“arp -a”命令,查看ARP列表。会发现该MAC已经被替换成攻击机器的MAC,将该MAC记录(以备查找),然后根据此MAC找出中病毒的计算机。方法二、借助第三方抓包工具(如sniffer或antiarp)查找局域网中发arp包最多的IP地址,也可判断出中病毒计算机。造成arp欺骗的病毒,其实是普通的病毒,只要判断出发包源,使用杀毒软件进行清查,是可以彻底解决的。
问题七:局域网里有电脑中毒了,怎么样才能知道是哪台中毒了 彩影ARP防火墙。检测下就知道了。
问题八:我们公司的局域网好像中毒了,不知道怎么才能彻底杀毒呢 用瑞星防火墙08版的就可以了,他的arp防御也不错,看看是哪个机子攻击,然后杀毒
问题九:公司局域网财务主机中毒 不敢杀毒 然后 各种问题 咋办? IP 冲突 无限冲突 还有 就是我宿舍一开无线网络 宿舍应该是遭到ARP攻击了…………如果路由器在你手里,可以加密,封死别人蹭网的可能性(如果是弧线路由的话),联网的电脑都做一次全面杀毒,确保没有ARP病毒,并且没有人使用ARP攻击软件。其次就是安装ARP防火墙了。
公司的话,还是找专业人员处理吧,至少要先备份数据再说。关键看看中的什么毒,可以用杀软尝试性查毒,但是不处理,从发现的病毒判断中毒的种类和情况,以便正确处理。
问题十:当局域网内电脑出现大量中毒情况,简略画出解决步骤流程图?谢谢 解决方法:
1、管理企业的电脑,给所有的电脑制作F11一键还原。(中毒了就所有电脑开机,按F11就马上解决)
2、用电脑主机来做服务器,拔号上网,并共享宽带,服务器搞好防御,最好是自编的防火墙,我就有一个没有智能功能,一但安装,只能手动操作来解决某些IP和端口和程序运行。一但安装默认是全方面防御。可防DOC攻击和所有木马和病毒,部份由于网络所需的端口一定要开启,DOC攻击过来时,可以开启IP断防范。
由于连内网的大部份端口都封杀,所以病毒是不可攻通过局域网传播。
解决方法:
1、管理企业的电脑,给所有的电脑制作F11一键还原。(中毒了就所有电脑开机,按F11就马上解决)
2、用电脑主机来做服务器,拔号上网,并共享宽带,服务器搞好防御,最好是自编的防火墙,我就有一个没有智能功能,一但安装,只能手动操作来解决某些IP和端口和程序运行。一但安装默认是全方面防御。可防DOC攻击和所有木马和病毒,部份由于网络所需的端口一定要开启,DOC攻击过来时,可以开启IP断防范。
由于连内网的大部份端口都封杀,所以病毒是不可能通过局域网传播。
1,如果电脑中毒后,可以正常运行,那么就千万不要再去进行登录什么账号或者是修改密码等操作,应该及时的使用电脑杀毒软件给你的电脑杀毒。
2,然后等待杀毒完成后,一定要重启电脑,因为大多数病毒都是在重启后,才会彻底清除的,重启完成后,再去修改你中毒期间用过的账号密码。
无法正常运行
1,如果中毒后,电脑出现无法正常运行的情况,例如说程序打不开,电脑键盘鼠标被锁定死机,那么一定要及时的拔出的你网线,用无线路由器的直接关闭路由器
2,然后重启电脑的过程中,不停按F8进入网络安全模式,然后再去正常连接网络,下载电脑中的杀毒软件,给你的电脑杀毒就可以了。
杀毒方法
1,杀毒的时候,一定要确保能把病毒彻底清理干净,所以要用一些知名的电脑杀毒软件,比如说腾讯电脑管家——病毒查杀功能
2,然后在右上角的位置——菜单——全盘杀毒功能,就可以开始自动全盘查杀了,非常简单方便,不过杀毒完成后,也一定记得重启电脑。
作为一位网络管理员,我们的职责就是要保证网络安全、有效地运行。尽管我们已经做了各种防范,可是常在河边走,哪能不湿鞋呢?网络黑客、木马、病毒、流氓软件充斥着网络,即使加120个小心,也无法保证不会中招;何况,内网中还有我们信任的一小撮常常犯低级错误的同仁呢。万一中招了,我们该怎么办呢?下面是我几年前面对一次病毒泛滥时的对策。一、顶住压力,冷静面对;网络中毒瘫痪,单位领导,同事们的矛头马上全部指向网管员,要么大发雷霆,要么表面漠不关心,心中窃喜可以偷得浮生半日闲了。所以,大部分网管员会急得像热锅上的蚂蚁,到处乱串,不知所以。弟兄们,办法总是多于困难的,我们做事的前提是你首先得冷静下来;问题、困难就摆在眼前,我们将问题搞清楚了,问题就解决了一半。二、了解情况,分清问题主次;网络中有杀软和防火墙吗,补丁、杀软和防火墙都是最新的吗?这样我们就能确定病毒或是马是否是最新的;病毒不是最新的,我们找一台可上网的机器,更新杀软或下载相关的专杀工具即可解决问题;病毒如是最新的,我们并非专业病毒人士,怎么办?网络中通常并不是所有的机器全部中招,通常至少有30%的机器还能用。基本不能用的,是客户机还是服务器,客户机有几台,服务器有几台,通常我们的原则是先去修服务器,尽量保证服务器的可用,因为服务器是为大部分人提供服务的。三、保护重要数据及各种账户信息;电脑中毒后,我们当前的工作数据通常会受到很大影响,我们应尽可能备份数据;有人说,都染毒了,备份了也不能用啊,备它做什么。如果,你单位的规模较大,中毒期间的损失相对就大,备份后,等杀软的病毒库更新或出了专杀工具,我们的数据还是能恢复正常使用的;我们的目的是把损失降到最低。四、使用工具,找出病毒源;病毒不会是一下就感染了整个网络,所有的病毒必定要自我复制;所以,网络中一定存在病毒源。我们可以用sniffer等嗅探工具找到是哪几台机器在大量发包,用得是什么协议什么端口。五、切断传播途径,打“密封”;通常病毒源计算机--大量发包的机器已经基本处于死机状态,我们可以将之关闭或者断掉网络连接;然后,用相关的工具软件封闭所有在线机器病毒传播的端口;至此,疯狂的病毒基本已被束缚住了。六、提出备用机,尽量保证应用;一般情况下服务器是有备份的,安全要求高的单位服务器是有备用的;此时我们将备用服务器上线,调换病毒源客户机,尽量保证网络应用--亡羊补牢,因为网路安全的天生被动机制,我们能做的也只有这么多了。七、等待更新或专杀,做好善后;上报领导及通知同事们,我们的病毒处理措施,网络的暂时使用情况;等待更新或专杀,彻底清杀网络病毒。虽然,这件事情已经过去好久了,可是今天回想起来,依然冷汗直流,网管员兄弟们,责任重大啊
方法
1扫描杀毒,清除ie缓存,cookies;
2如果不行,打开局域网内最临近的另一电脑,查看同局域网内的电脑是否出现同样状况;
3将所有的电脑断开连接,也就是拔掉网线;
4完全断电,拔掉电源线;
5用网络监听工具,看一下局域网内哪台主机的ARP包特多。利用ARP协议进行攻击一般会出现 MAC相同的用户,如果手中有MAC表那就可以对照着查找,一台一台处理;
6如果还不行,可以把所有网络里的电脑都直接从新做GHOST系统一遍就可以;
7如果是厉害的U盘病毒会继续潜伏在其他非系统磁盘里,重新做系统也没用,需要完全格式化,之后在重装系统。
诀窍
如果是厉害的病毒估计用国产杀毒软件是没办法的,而且通过注册表处理不但工作量巨大,而且效果也不一定好,最后也不会弄。 建议直接重新做系统,GHOST也可以。
手工查找感染ARP病毒的主机过于烦琐,可以使用网络监听工具。
局域网病毒防范方法:
1增加安全意识;
2小心邮件;
3挑选网络版杀毒软件。
提醒
局域网内请不要没装杀毒软件裸奔。
请勿浏览不健康的网站。
局域网病毒传播方式有以下几种:
1病毒直接从工作站拷贝到服务器中或通过邮件在网内传播;
2病毒先传染工作站,在工作站内存驻留,等运行网络盘内程序时再传染给服务器;
3病毒先传染工作站,在工作站内存驻留,在病毒运行时直接通过映像路径传染到服务器中;
4如果远程工作站被病毒侵入,病毒也可以通过数据交换进入网络服务器中一旦病毒进入文件服务器,就可通过它迅速传染到整个网络的每一个计算机上。
电脑病毒这个词儿早已被人们所熟知,可人们对它的了解都比较少,有时候连自己的电脑是否中毒都不知道,因此会让不法分子有空隙可钻,这里为大家介绍一下电脑杀毒的一些知识,也许大家能够用得上。
一、中毒的一些表现
我们怎样知道电脑中病毒了呢其实电脑中毒跟人生病一样,总会有一些明显的症状表现出来。例如机器运行十分缓慢、上不了网、杀毒软件生不了级、word文档打不开,电脑不能正常启动、硬盘分区找不到了、数据丢失等等,就是中毒的一些征兆。
二、中毒诊断
1、按Ctrl+Shift+Ese键(同时按此三键),调出windows任务管理器查看系统运行的进程,找出不熟悉进程并记下其名称(这需要经验),如果这些进程是病毒的话,以便于后面的清除。暂时不要结束这些进程,因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态,如果CPU的利用率接近100%或内存的占用值居高不下,此时电脑中毒的可能性是95%
2、查看windows当前启动的服务项,由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”启动类别为“自动”项的行;一般而言,正常的windows服务,基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外),此时双击打开认为有问题的服务项查看其属性里的`可执行文件的路径和名称,假如其名称和路径为C:winntsystem32exploredexe,计算机中招。有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边,中间有一纵向的滚动条,而右边为空白,再双击添加/删除程序或管理工具,窗体内是空的,这是病毒文件winhlpp32exe发作的特性。
3、运行注册表编辑器,命令为regedit或regedt32,查看都有那些程序与windows一起启动。主要看Hkey_Local_MachineSoftwareMicroSoftWindowsCurrentVersionRun和后面几个RunOnce等,查看窗体右侧的项值,看是否有非法的启动项。WindowsXp运行msconfig也起相同的作用。随着经验的积累,你可以轻易的判断病毒的启动项。
4、用浏览器上网判断。上网浏览时尽量上一些大站,或者是正规网站。
5、取消隐藏属性,查看系统文件夹winnt(windows)system32,如果打开后文件夹为空,表明电脑已经中毒;打开system32后,可以对图标按类型排序,看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks,wins,drivers目前有的病毒执行文件就藏身于此;driversetc下的文件hosts是病毒喜欢篡改的对象,它本来只有700字节左右,被篡改后就成了1Kb以上,这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。 转自电脑入门到精通网
6、由杀毒软件判断是否中毒,如果中毒,杀毒软件会被病毒程序自动终止,并且手动升级失败……杀毒、建议
三、杀毒
1、在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值,删除之。当成系统服务启动的病毒程序,会在Hkey_Local_MachineSystemControlSet001services和controlset002services里藏身,找到之后一并消灭。
2、停止有问题的服务,改自动为禁止。
3、如果文件system32driversetchosts被篡改,恢复它,即只剩下一行有效值“127001localhost”,其余的行删除。再把host设置成只读。
4、重启电脑,摁F8进“带网络的安全模式”。目的是不让病毒程序启动,又可以对Windows升级打补丁和对杀毒软件升级。
5、搜索病毒的执行文件,手动消灭之。
6、对Windows升级打补丁和对杀毒软件升级。
7、关闭不必要的系统服务,如remoteregistryservice 8、第6步完成后用杀毒软件对系统进行全面的扫描,剿灭漏网之鱼。
9、上步完成后,重启计算机,完成所有操作。
四、建议
防范病毒作用远甚于查杀病毒。因此建立严密的防范措施是十分必要的。SXS好问提示,在具备条件的大中型网络里,应该软硬兼施、立体防护。理想得到情况是:Internet的接入处是外网防火墙;紧接着是防毒网关(熊猫卫士的性价比较高);然后是路由器,服务器区,可为应用服务器配置一台病毒服务器;再往内是内网防火墙;内网架设杀毒服务器,每个用户都安装杀毒软件的可管理客户端。
注:更多精彩教程请关注三联电脑教程栏目,三联电脑群:189034526欢迎你的加入
中冲击波了吧
冲击波是一种利用NT内核系统的RPC服务的漏洞对系统进行攻击的蠕虫病毒,事实上,在漏洞出现的时候就陆陆续续的出现了各种针对此漏洞的多种蠕虫病毒,早期的这些蠕虫病毒只是攻击此漏洞,造成远端系统的崩溃,而"冲击波"的出现将漏洞的危害发挥到极致--它利用漏洞进行快速传播。
中了冲击波的电脑有如下症状:
1、莫名其妙地死机或重新启动计算机;
2、IE浏览器不能正常地打开链接;
3、不能复制粘贴;
4、有时出现应用程序,比如Word异常;
5、网络变慢;
6、最重要的是,在任务管理器里有一个叫"msblastexe"的进程在运行!
以上这些情形,如果是最近两天才出现的现象,都很有可能是由于受到了"冲击波"病毒的攻击。尤其是第六条符合,那就肯定是已经被冲击波攻击成功了,必须立刻采取杀毒、打补丁的措施。
补丁地址如下:
中文XP的补丁
中文2000的补丁
中文2003的补丁
"冲击波"恶性蠕虫专杀工具
如果受到攻击在它倒数完之前在命令行输入
shutdown-a
就不会重启了!
其中以Worm为后缀的就是与冲击波有关的病毒,而以@mm结尾的就是冲击波的变种或衍生物
中毒之后该怎么办呢?虽然安装了杀毒工具和防火墙,但RPC服务系统已经被破坏,计算机还是会不间断重启,总不可能每次重启都去输入参数吧,这里有一个好方法:
由于病毒破坏了你的(RPC)服务系统,所以即使你杀了毒,安装了防火墙,以后还是会不间断重启,所以要修改(RPC)服务设置。方法如下:
在控制面板里找到"管理工具",双击"服务"进入服务设置,找到RemoteProcedureCall(RPC),
双击打开,选择"恢复"选项卡,把选择服务失败时计算机的反应全部改为"不操作"或"重新启动服务",推荐选择"不操作"。
这样就OK了!最后提醒大家,不要忘记随时更新病毒库哦
你们网吧不是有还原卡吗? 有的病毒就是这样,我学校里的机器也有还原卡,但总是有能穿透还原卡的病毒。 建议你把那台机器重做一下,然后上双还原。 就是用一个还原卡,外加一个还原软件,我学校电子阅览室就是这么干的。 一开始总是中能穿透还原卡的病毒,但是上了双还原,然后安装小红伞以后就再也没有出现大范围病毒感染的情况了。 网吧不适合用杀毒软件,我建议你用一下软件限制策略和IP限制策略,特点是不占系统资源。 能穿透还原卡的病毒都不太简单,所以我才没说怎么杀毒。反正你是个网管,重做系统还不是家常便饭。
0条评论