一、查看防火墙日志
局域网中有电脑感染ARP类型病毒后,一般从防火墙的日志中可以初步判断出感染病毒的主机。
感染病毒的机器的典型特征便是会不断的发出大量数据包,如果在日志中能看到来自同一IP的大量数据包,多半情况下是这台机器感染病毒了。
这里以Nokia IP40防火墙为例,进入防火墙管理界面后,查看日志项,在“Event Log”标签下可以明显看到内网中有一台机器不断的有数据包被防火墙拦截,并且间隔的时间都很短。目标地址为公司WEB服务器的外网IP地址,设置过滤策略时对WEB服务器特意加强保护,所以可以看到这些项目全部是红色标示出来的
到WEB服务器的数据包被拦截了,那些没有拦截的数据包呢?自然是到达了目的地,而“目的”主机自然会不间断的掉线了。
由于内网采用的DHCP服务器的方法,所以只知道IP地址还没有用,必须知道对应的MAC地址,才能查到病毒源。我们可以利用NBTSCAN来查找IP所对应的MAC地址。如果是知道MAC地址,同样可以使用NBBSCAN来得到IP地址
由此可见,防火墙日志,有些时候还是可以帮上点忙的。
小提示:如果没有专业的防火墙,那么直接在一台客户机上安装天网防火墙之类的软件产品,同样能够看到类似的提醒。
二、利用现有工具
如果觉得上面的方法有点麻烦,且效率低下的话,那么使用专业的ARP检测工具是最容易不过的事了。这里就请出简单易用,但功能一点也不含糊的ARP 防火墙。
ARP防火墙可以快速的找出局域网中ARP攻击源,并且保护本机与网关之间的通信,保护本机的网络连接,避免因ARP攻击而造成掉线的情况发生。
软件运行后会自动检测网关IP及MAC地址并自动保护电脑。如果软件自动获取的地址有错误,可单击“停止保护”按钮,填入正确的IP地址后,单击“枚取MAC”按钮,成功获取MAC地址后,单击“自动保护”按钮开始保护电脑。
当本机接收到ARP欺骗数据包时,软件便会弹出气泡提示,并且指出机器的MAC地址
单击“停止保护”按钮,选中“欺骗数据详细记录”中的条目,再单击“追捕攻击者”按钮,在弹出的对话框中单击确定按钮。
软件便开始追捕攻击源,稍等之后,软件会提示追捕到的攻击者的IP地址
其实大多数时候,不用手工追捕,软件会自动捕获到攻击源的MAC地址及IP地址。
还等什么?找到那颗“毒瘤”,将其断网,杀毒。局域网总算清静了!
10.ISO/OSI网络协议与TCP/IP网络协议的关系
解答:首先看下各层对应的情况
ISO/OSI参考模型 TCP/IP协议模型 所对应PDU(协议数据单元) 应用层 ……………应用层 …………数据
表示层 ……………应用层 …………数据
会话层 ……………应用层 …………数据
传输层 ……………传输层 …………段
网络层…………… 互联网层……… 包
数据链路层 ………网络接口层 ……帧
物理层 ……………网络接口层 ……比特流
ISO/OSI参考模型与TCP/IP协议模型
相同点:1、都有应用层、传输层、网络层。
2、都是下层服务上层。
不同点:1、层数不同。
2、模型与协议出现的次序不同,TCP/IP先有协议,后有模型(出现早),ISO/OSI先有模型,后有协议(出现晚)。
11.不安全的协议有哪些,哪些协议和软件是明文传输的
解答:网页 --> HTTP协议 --> 服务器端
网页文件:亦可解释为客户端程序,它是以开放形式提供下载解释的。任何人都可以查看其代码。
HTTP协议:数据传输的通道,它也是一种开放协议,任何人只要有兴趣都可以查看它的数据传输过程和方法。
服务器端:接收处理数据
在这个过程里面,假设要构成加密(帐号和密码、本帖内容等),那么网页本身就需要对这些数据(帐号、密码、本帖内容等)进行加密,但网页本身是明文的,任何人都可以查看其代码(即加密方式)。所以如果要加密的话,就必需使用一种不可逆加密方式,但对于WEB C/S来说,这些数据却不能不可逆处理。
一般情况下,例如大部份网上免费论坛代码(包括大部份如淘宝、腾讯等),都是对密码部分使用不可逆加密方式(如MD5、SHA1等等),连服务器端本身都并不知道密码的明文(如:123456),而从注册用户开始,客户提交给的密码就以MD5、SHA1(不可逆)方式发送给服务器保存。它们的服务器本身就从来没有保存过密码明文,所以像腾讯、淘宝等你忘记密码,它们只能给你重修改密码,而无法给你原来的密码(因为它们服务器根本没有保存过密码明文)。
这种通用技术的好处是显然易见的,就是谁也能学习和使用,毫无障碍,同时能加速行业发展、标准化………………任何一种技术,都只能做到在传输过程中防止被拦截和解密。你还想要什么呢?
你要的是密码明文的保密,WEB是能做到彻底不可逆的保密性(主要是防止获取密码本身的明文)。
你要所有数据在传输过程做到保密,那么很抱歉,世界上任何一种标准化技术无法满足你的要求。
估计在讨论的时候大家忘记了,360等软件是从客户身上拦截数据(亦即社会工程学),而并非在路由等等拦截这些信息,所以就算使用HTTPS协议,一样可以拦下来解释数据。
12.内网有多个出口时,如何知道数据包从哪个出口出去的
解答:目前电信、联通、移动等各运营商和教育网之间互访速度较慢,大型企业由于其访问资源、带宽、资费等原因选择多个出口,一些重要的网站或者icp 采用多线的方式来提高其服务质量,内网多个出口时,如何知道数据包是哪个口出去的呢,这个跟设置有关系,如双WAN口路由,或者多WAN口VPN,或核心设备,一般都是内网出口,都是指定一条专线,外网访问内网,采取多线路的方式,如需要多出口,可选择指定网关,或者设备中指定,配置好,最后,也可以使用抓包软件,看数据包是从哪个口出去的。
13. 怎样连接两个网络,才能让指定 WindowsXP 自由上网,而不必禁用任何网卡(无线网卡)?而且可以当一个宽带不顺畅时,WindowsXP 自动使用另外一个宽带?
解答:1.最基本的就是双网卡,用哪个禁用另了一个,这个其实用脚本来切换也很简单的
@echo off
rem 在XP系统中不支持netsh interface set interface name命令扩展,提取2003下的ifmon.dlld文件覆盖
set net1=本地连接
set net2=无线网络连接
:loop
cls
echo 1:使用本地连接&&echo.
echo 2:使用无线网络连接&&echo.
echo 3:查看本地网络连接&&echo.
echo 4:退出&&echo.
set /p var=请选择网络(1/2/3/4):
if "%var%"=="1" goto :net1
if "%var%"=="2" goto :net2
if "%var%"=="3" goto :display
if "%var%"=="4" goto :end
goto :loop
:net1
netsh int set int name="%net2%" admin= disabled
netsh int set int name="%net1%" admin= enabled
goto :end
:net2
netsh int set int name="%net1%" admin= disabled
netsh int set int name="%net2%" admin= enabled
goto :end
:display
cls
netsh int show int
goto :loop
:end
pause>nul
exit
2.对于内网只有一个网段,根本就不用设置网关,这样有线无线可同时使用,如内网存在多个网关,直接设置静态路由
rem 僻如本地连接是192.168.0.*/24网段,网关192.168.0.1,有线连接使用内网,无线网线连接直接dhcp连无线上外网(僻如10.0.0.*段)
