|
|
现象:最近局域网内经常有人报怨很慢,甚至上不起。
第一步:由于是个别现象,故首先来到了那故障机旁查看其网络参数,结果未发现异样。
第二步:故障机可以通局域网,但速度确实很慢,难道有鬼?于是想到:arp –a,显示如下
192.168.1.149 00-14-2A-8D-D8-BD dynamic
用arp –d清除ARP缓存后,再用arp –a,刚开始没有显示,几次之后就有又出现以上结果
根据ARP缓存原理,看来故障机与00-14-2A-8D-D8-BD有联系。
想法:192.168.1.149 00-14-2A-8D-D8-BD这台机器肯定有问题
这么台机器,谁是00-14-2A-8D-D8-BD?或者根本就存在这台机器,怎么办?总不可能一根根拔网线吧?
用科来分析:
为了更准确定位,我使用如下过滤器
发现网关就是怀疑机器(00-14-2A-8D-D8-BD)
怎么可能呢?明明ARP里的是192.168.1.149,这里又变成了网关,而我们局域网的网关为192.168.1.1,问题就出在这儿?
打开路由器,查看网关参数:
果然如此,网关和故障机都被欺骗了,也也难怪故障机慢了。
而且也由上图可以看出,192.168.1.149和192.168.1.227都在“网关”00-14-2A-8D-D8-BD之下,看来已经建立了“中间人”。打开“物理矩阵”就更清楚了。
怎样才能查出这台机器是谁呢?怎样才能知道这个MAC是否真实呢?
由于我的宽带路由器具有IP-MAC绑定功能,打开一看,果然有这么一台真实的机器,如下
怎样通知它又成了问题
一幢楼七八个单位共用线路,而之前又没登记MAC-IP,禁止MAC(灵光一闪),让其无法上网,这样一来对方自然就找我了。配置如下:
没多一会儿,对方果然电话进来(嘿嘿,这一下我得好好教育教育这位同志了)。
原来,00-14-2A-8D-D8-BD机器中了木马,将其网线拔出,一会儿故障消除。
半路出家,请各位方家多多指点。谢谢!
|
评分
-
1
查看全部评分
-
|
发表于 2007-3-19 14:40:33
