局域网如何查询哪台机器中arp病毒？？ 华为3026E

局域网受ARP变种病毒攻击后瞬间掉线的解决方法 前言：2006年算是ARP和LOGO1病毒对局域网的危害最大，在前期我们一般采用双向梆定的方法即可解决 但是ARP变种 出现日期大概在10月份底，大家也许还在为网关掉线还以为是电信的问题还烦恼吧，其实不然变种过程ARP病毒-变种OK病毒-变种TrojanDropper.Win32.Juntador.f或TrojanDropper.Win32.Juntador.C 现在的这个ARP变种病毒更是厉害，我把自己遇到过的情况说给大家听听，如果大家有这些情况，不好意思“恭喜你” 你中大奖了，呵呵~~ 先了解ARP变种病毒的特性吧: 一:破坏你的ARP双向绑定批出理 二:中毒机器改变成代理服务器又叫代理路由 三:改变路由的网关MAC地址和internat网关的MAC地址一样 病毒发作情况：现在的ARP变种 不是攻击客户机的MAC地址攻击路由内网网关，改变了它的原理，这点实在佩服 直接攻击您的路由的什么地址你知道吗？哈哈~~猜猜吧~~不卖关了~~新的变种ARP直接攻击您路由的MAC地址和外网网关 而且直接就把绑定IP与MAC的批处理文件禁用了。一会儿全掉线，一会儿是几台几台的掉线。而且 中了ARP的电脑会把那台电脑转变成内网的代理服务器进行盗号和发动攻击。如果大家发现中了ARP没有掉线，那说明你 中了最新的变种，你只要重启了那台中了ARP病毒的电脑，那么受到ARP攻击的机子就会全部掉线 内网的网关不掉包，而外网的IP和DNS狂掉，这点也是ARP变种的出现的情况，请大家留意。 我在最后会公布解决的案例和相关补丁，请大家看完全文可能对你有帮助哦，不要急着下~呵呵~ 该病毒发作时候的特征为，中毒的机器会伪造某台电脑的MAC地址，如该伪造地址为网关服务器的地址，那么对整个网吧均会造成影响，用户表现为上网经常瞬断。 一、在任意客户机上进入命令提示符(或MS-DOS方式)，用arp –a命令查看： C:\WINNT\system32>arp -a Interface: 192.168.0.193 on Interface 0x1000003 Internet Address Physical Address Type 192.168.0.1 00-50-da-8a-62-2c dynamic 192.168.0.23 00-11-2f-43-81-8b dynamic 192.168.0.24 00-50-da-8a-62-2c dynamic 192.168.0.25 00-05-5d-ff-a8-87 dynamic 192.168.0.200 00-50-ba-fa-59-fe dynamic 可以看到有两个机器的MAC地址相同，那么实际检查结果为 00-50-da-8a-62-2c为192.168.0.24的MAC地址，192.168.0.1的实际MAC地址为00-02-ba-0b-04-32，我们可以判定192.168.0.24实际上为有病毒的机器，它伪造了192.168.0.1的MAC地址。 二、在192.168.0.24上进入命令提示符(或MS-DOS方式)，用arp –a命令查看： C:\WINNT\system32>arp -a Interface: 192.168.0.24 on Interface 0x1000003 Internet Address Physical Address Type 192.168.0.1 00-02-ba-0b-04-32 dynamic 192.168.0.23 00-11-2f-43-81-8b dynamic 192.168.0.25 00-05-5d-ff-a8-87 dynamic 192.168.0.193 00-11-2f-b2-9d-17 dynamic 192.168.0.200 00-50-ba-fa-59-fe dynamic 可以看到带病毒的机器上显示的MAC地址是正确的，而且该机运行速度缓慢，应该为所有流量在二层通过该机进行转发而导致，该机重启后网吧内所有电脑都不能上网，只有等arp刷新MAC地址后才正常，一般

局域网受ARP变种病毒攻击后瞬间掉线的解决方法 前言：2006年算是ARP和LOGO1病毒对局域网的危害最大，在前期我们一般采用双向梆定的方法即可解决 但是ARP变种 出现日期大概在10月份底，大家也许还在为网关掉线还以为是电信的问题还烦恼吧，其实不然变种过程ARP病毒-变种OK病毒-变种TrojanDropper.Win32.Juntador.f或TrojanDropper.Win32.Juntador.C 现在的这个ARP变种病毒更是厉害，我把自己遇到过的情况说给大家听听，如果大家有这些情况，不好意思“恭喜你” 你中大奖了，呵呵~~ 先了解ARP变种病毒的特性吧: 一:破坏你的ARP双向绑定批出理 二:中毒机器改变成代理服务器又叫代理路由 三:改变路由的网关MAC地址和internat网关的MAC地址一样 病毒发作情况：现在的ARP变种 不是攻击客户机的MAC地址攻击路由内网网关，改变了它的原理，这点实在佩服 直接攻击您的路由的什么地址你知道吗？哈哈~~猜猜吧~~不卖关了~~新的变种ARP直接攻击您路由的MAC地址和外网网关 而且直接就把绑定IP与MAC的批处理文件禁用了。一会儿全掉线，一会儿是几台几台的掉线。而且 中了ARP的电脑会把那台电脑转变成内网的代理服务器进行盗号和发动攻击。如果大家发现中了ARP没有掉线，那说明你 中了最新的变种，你只要重启了那台中了ARP病毒的电脑，那么受到ARP攻击的机子就会全部掉线 内网的网关不掉包，而外网的IP和DNS狂掉，这点也是ARP变种的出现的情况，请大家留意。 我在最后会公布解决的案例和相关补丁，请大家看完全文可能对你有帮助哦，不要急着下~呵呵~ 该病毒发作时候的特征为，中毒的机器会伪造某台电脑的MAC地址，如该伪造地址为网关服务器的地址，那么对整个网吧均会造成影响，用户表现为上网经常瞬断。 一、在任意客户机上进入命令提示符(或MS-DOS方式)，用arp –a命令查看： C:\WINNT\system32>arp -a Interface: 192.168.0.193 on Interface 0x1000003 Internet Address Physical Address Type 192.168.0.1 00-50-da-8a-62-2c dynamic 192.168.0.23 00-11-2f-43-81-8b dynamic 192.168.0.24 00-50-da-8a-62-2c dynamic 192.168.0.25 00-05-5d-ff-a8-87 dynamic 192.168.0.200 00-50-ba-fa-59-fe dynamic 可以看到有两个机器的MAC地址相同，那么实际检查结果为 00-50-da-8a-62-2c为192.168.0.24的MAC地址，192.168.0.1的实际MAC地址为00-02-ba-0b-04-32，我们可以判定192.168.0.24实际上为有病毒的机器，它伪造了192.168.0.1的MAC地址。 二、在192.168.0.24上进入命令提示符(或MS-DOS方式)，用arp –a命令查看： C:\WINNT\system32>arp -a Interface: 192.168.0.24 on Interface 0x1000003 Internet Address Physical Address Type 192.168.0.1 00-02-ba-0b-04-32 dynamic 192.168.0.23 00-11-2f-43-81-8b dynamic 192.168.0.25 00-05-5d-ff-a8-87 dynamic 192.168.0.193 00-11-2f-b2-9d-17 dynamic 192.168.0.200 00-50-ba-fa-59-fe dynamic 可以看到带病毒的机器上显示的MAC地址是正确的，而且该机运行速度缓慢，应该为所有流量在二层通过该机进行转发而导致，该机重启后网吧内所有电脑都不能上网，只有等arp刷新MAC地址后才正常，一般 查看原帖>>