- 怎样检测不能上网的原因?我的电脑接在一个局域网里,有一次不能上网
- 我的接在一个局域网里,有一次不能上网。我用了很多方法来检测网络,结果ping主机,ping网关都没有问题,我想的头都快炸了。后来有个朋友告诉我有可能遭到arp攻击,结果我下了个反arp的工具果然就好了。天那,居然会有这种是,我也不是网络专业的,要不是有人告诉我还蒙在谷里呢。
虽然问题解决了,但是我想知道像我们这样的普通用户用什么方法可以检测到受到了攻击?有人跟我说用arp-a命令,可是在我不知道受到arp攻击之前怎么会想的到用这个命令呢?以后还不知道会受到什么样的攻击呢,有什么通用的方法可以笼统地检测不能
- 一、在任意客户机上进入命令提示符(或MS-DOS方式),用arp –a命令查看:
C:\WINNT\system32>arp -a
Interface: on Interface 0x1000003
Internet Address Physical Address Type
00-50-da-8a-62-2c dynamic
00-11-2f-43-81-8b dynamic
00-50-da-8a-62-2c dynamic
00-05-5d-ff-a8-87 dynamic
00-50-ba-fa-59-fe dynamic
可以看到有两个机器的MAC地址相同,那么实际检查结果为 00-50-da-8a-62-2c为 的MAC地址, 的实际MAC地址为00-02-ba-0b-04-32,我们可以判定 实际上为有病毒的机器,它伪造了 的MAC地址。
二、在 上进入命令提示符(或MS-DOS方式),用arp –a命令查看:
C:\WINNT\system32>arp -a
Interface: on Interface 0x1000003
Internet Address Physical Address Type
00-02-ba-0b-04-32 dynamic
00-11-2f-43-81-8b dynamic
00-05-5d-ff-a8-87 dynamic
00-11-2f-b2-9d-17 dynamic
00-50-ba-fa-59-fe dynamic
可以看到带病毒的机器上显示的MAC地址是正确的,而且该机运行速度缓慢,应该为所有流量在二层通过该机进行转发而导致,该机重启后网吧内所有都不能上网,只有等arp刷新MAC地址后才正常,一般在2、3分钟左右。
三、如果主机可以进入dos窗口,用arp –a命令可以看到类似下面的现象:
C:\WINNT\system32>arp -a
Interface: on Interface 0x1000004
Internet Address Physical Address Type
00-50-da-8a-62-2c dynamic
00-50-da-8a-62-2c dynamic
00-50-da-8a-62-2c dynamic
00-50-da-8a-62-2c dynamic
00-50-da-8a-62-2c dynamic
该病毒不发作的时候,在代理服务器上看到的地址情况如下:
C:\WINNT\system32>arp -a
Interface: on Interface 0x1000004
Internet Address Physical Address Type
00-11-2f-43-81-8b dynamic
00-50-da-8a-62-2c dynamic
00-05-5d-ff-a8-87 dynamic
00-11-2f-b2-9d-17 dynamic
00-50-ba-fa-59-fe dynamic
病毒发作的时候,可以看到所有的ip地址的mac地址被修改为00-50-da-8a-62-2c,正常的时候可以看到MAC地址均不会相同。