快速找出區域網路的中毒電腦

在區域網路環境中上網的朋友會經常碰到無故斷線的情況，並且檢查電腦也檢查不出什麼原因。其實出現這種情況，大部分情況下都是區域網路中的某一台電腦感染了ARP類型的病毒所至。感染病毒，電腦一一殺毒，電腦過多的情況下顯然很費時費力。現在就告訴你這三招兩式，快速找出區域網路中的“毒瘤”。

小提示： ARP：Address Resolution Protocol的縮寫，即位址解析通訊協定。ARP負責將電腦的IP地址轉換為對應的物理地址，即網卡的MAC地址。當發生ARP欺騙時，相關主機會收到錯誤的資料，從而造成斷網的情況發生。

一、查看防火牆日誌

區域網路中有電腦感染ARP類型病毒後，一般從防火牆的日誌中可以初步判斷出感染病毒的主機。

感染病毒的機器的典型特徵便是會不斷的發出大量資料包，如果在日誌中能看到來自同一IP的大量資料包，多半情況下是這台機器感染病毒了。

這裡以Nokia IP40防火牆為例，進入防火牆管理介面後，查看日誌項，在“Event Log”標籤下可以明顯看到內網中有一台機器不斷的有資料包被防火牆攔截，並且間隔的時間都很短。目標地址為公司WEB伺服器的外網IP地址，設定過濾策略時對WEB伺服器特意加強保護，所以可以看到這些項目全部是紅色標示出來的(圖1)。

圖1

到WEB伺服器的資料包被攔截了，那些沒有攔截的資料包呢?自然是到達了目的地，而“目的”主機自然會不間斷的掉線了。

由於內網採用的DHCP伺服器的方法，所以只知道IP地址還沒有用，必須知道對應的MAC地址，才能查到病毒源。我們可以利用NBTSCAN來尋找IP所對應的MAC地址。如果是知道MAC地址，同樣可以使用NBBSCAN來得到IP地址(圖2)。

圖2

由此可見，防火牆日誌，有些時候還是可以幫上點忙的。

小提示：如果沒有專業的防火牆，那麼直接在一台客戶機上安裝天網防火牆之類的軟體產品，同樣能夠看到類似的提醒。