|
|
昨天接到一个电话,某学校某老师打来,叫我去看看,说是可能路由器有问题,(路由是我卖的)说是他们学校的网络老是断,沉思了一下。。。。。。。。详细问了问,老师说的是:有时能上,有时又断了,没有节奏,能上的时候也很慢,听完。。。。。。。。。当时第一反应就是ARP病毒。但当时已经下班,也就约定今天去看看。
今天来到现场,
先环境部署好,部署方法http://www.csna.cn/forum.php?mod=viewthread&tid=355&extra=page%3D1
设置好端口镜像,设置方法http://www.csna.cn/forum.php?mod=viewthread&tid=9703&extra=page%3D1
拓扑图
我大概描述一下学校里面的物理环境:机房是设置在4楼,有一个VIGOR3300B+的路由器,一个华为中心交换机,三个光纤收发器(分别是两个机房和教师宿舍区的接入线路),办公室区域是直接接到中心交换机上的,我先是全局抓包,(因为我用的是技术交流版有50节点限制,抓的包是不全的)节点限制这个问题其实不难解决,下一步会讲到,先把我的截图传上来
可以确定了,是ARP病毒。
现在要做的就是找到被病毒感染的PC
我先是把教师宿舍区,办公室区,机房A断掉,只留下机房B,再抓包(这时节点数50限制也就没问题了)结果发现机房的电脑都感染到了病毒,当时觉得很奇怪,怎么会全部都有病毒呢?带着疑问,我问了管机房的老师,老师说前两天才做系统刻盘,于是呼,我恍然大悟,难道问题就出再母盘上,为了确定我的判断,我又按照上诉方法,只留下了机房A,结果得到证实。
机房电脑告一段落,重做系统可以解决。然后我近一步检查,只接入了办公区的电脑。
确定了192.168.1.26和192.168.1.56
最后就只剩下教师宿舍区,同上方法确定了192.168.1.159。
到此为止,网络恢复平静,一切都正常了。
潜水了很久,也发个,与大家共勉之,能力有限,还望大家批评指正。 在此感谢CSNA论坛以及各位版主、管理员、菜鸟人飞。 |
评分
-
1
查看全部评分
-
|
发表于 2008-9-9 23:48:43
发表于 2008-9-10 00:01:02
hao hao !!!
好好的学习学习