问题描述:
我们公司网络上周五出现了一个MAC地址:444553540000,与Baidu上回答“什么叫MAC地址”的答案中举例一模一样,并且它的IP地址是变动的,正好周五我司的网络出现了好几台电脑抢占同一个IP地址,EMAIL服务器拥堵的现象,不同的电脑的抢占这台服务器的IP地址,使它断线,收发EMAIL异常。
我司安装有FUTIGATE的防毒墙,趋势网络版的杀毒软件,北信源的内网管理系统(周四升级修补BUG)
请各位高手告诉我,这是什么原因?是病毒吗?如何解决?
解析:
应该是病毒,我想应该是类似于ARP欺骗病毒之类的~~~~
故障现象:
当局域网内某台主机运行ARP欺骗的木马时,会欺骗局域网内所有主机和路由器,让所有上网的流量必须经过病毒主机。其它用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。由于arp欺骗的木马程序发作的时候会发出大量的数据包导致局域网通讯拥塞以及其自身处理能力的的限制,用户会感觉上网速度越来越慢。
解决思路:
1、不要把你的网络安全信任关系建立在IP基础上或MAC基础上,(rarp同样存在欺骗的问题),理想的关系应该建立在IP+MAC基础上。
2、设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。
3、除非很有必要,否则停止使用ARP,将ARP做为永久条目保存在对应表中。
4、使用ARP服务器。通过该服务器查找自己的ARP转换表来响应其他机器的ARP广播。确保这台ARP服务器不被黑。
5、使用""proxy""代理IP的传输。
6、使用硬件屏蔽主机。设置好你的路由,确保IP地址能到达合法的路径。(静态配置路由ARP条目),注意,使用交换集线器和网桥无法阻止ARP欺骗。
7、管理员定期用响应的IP包中获得一个rarp请求,然后检查ARP响应的真实性。
8、管理员定期轮询,检查主机上的ARP缓存。
9、使用防火墙连续监控网络。注意有使用SNMP的情况下,ARP的欺骗有可能导致陷阱包丢失。
1故障电脑查看arp -a,显示连接有大量ip,证明该机器已感染arp欺骗病毒。
2进程中多一个vktservexe、win dexe、resexe的进程。
3C:\WINDOWS\system32下有win dexe,vktservexe,resexe,updll
4启动项中有win dexe,resexe(可使用autoruns6exe软件)
5系统服务中多了个vktserv
建议解决办法:
1去掉启动项中的win dexe,resexe(可使用autoruns6exe软件)
2禁用vktserv服务。
3结束win dexe进程,删除C:\WINDOWS\system32下win dexe(可使用procexpexe软件)
4重新启动
5删除C:\WINDOWS\system32下resexe和updll
6删除C:\WINDOWS\system32下vktservexe
7禁用vktserv服务。
希望对你由帮助,说得很粗略,你可以查看一下网上的资料~~~~软件官网。趋势科技是网络安全软件及服务领域的全球领导者,以卓越的前瞻和技术革新能力引领了从桌面防毒到网络服务器和网关防毒的潮流,以独特的服务理念向业界证明了趋势科技的前瞻性和领导地位,可以在软件官网下载这款杀毒软件,好用并且免费。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)