Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1296093
  • 博文数量: 464
  • 博客积分: 9399
  • 博客等级: 中将
  • 技术积分: 6364
  • 用 户 组: 普通用户
  • 注册时间: 2011-02-19 09:15
文章分类

全部博文(464)

文章存档

2014年(12)

2013年(123)

2012年(173)

2011年(156)

我的朋友

分类:

2011-07-21 16:07:14

现象:最近局域网内经常有人报怨很慢,甚至上不起。

第一步:由于是个别现象,故首先来到了那故障机旁查看其网络参数,结果未发现异样。

第二步:故障机可以通局域网,但速度确实很慢,难道有鬼?于是想到:arp –a,显示如下

192.168.1.149      00-14-2A-8D-D8-BD     dynamic
用arp –d清除ARP缓存后,再用arp –a,刚开始没有显示,几次之后就有又出现以上结果
根据ARP缓存原理,看来故障机与00-14-2A-8D-D8-BD有联系。

想法:192.168.1.149      00-14-2A-8D-D8-BD这台机器肯定有问题
这么台机器,谁是00-14-2A-8D-D8-BD?或者根本就存在这台机器,怎么办?总不可能一根根拔网线吧?

用科来分析:
为了更准确定位,我使用如下过滤器

发现网关就是怀疑机器(00-14-2A-8D-D8-BD)

怎么可能呢?明明ARP里的是192.168.1.149,这里又变成了网关,而我们局域网的网关为192.168.1.1,问题就出在这儿?
打开路由器,查看网关参数:

果然如此,网关和故障机都被欺骗了,也也难怪故障机慢了。

而且也由上图可以看出,192.168.1.149和192.168.1.227都在“网关”00-14-2A-8D-D8-BD之下,看来已经建立了“中间人”。打开“物理矩阵”就更清楚了。

怎样才能查出这台机器是谁呢?怎样才能知道这个MAC是否真实呢?
由于我的宽带路由器具有IP-MAC绑定功能,打开一看,果然有这么一台真实的机器,如下

怎样通知它又成了问题
一幢楼七八个单位共用线路,而之前又没登记MAC-IP,禁止MAC(灵光一闪),让其无法上网,这样一来对方自然就找我了。配置如下:

没多一会儿,对方果然电话进来(嘿嘿,这一下我得好好教育教育这位同志了)。
原来,00-14-2A-8D-D8-BD机器中了木马,将其网线拔出,一会儿故障消除。

半路出家,请各位方家多多指点。谢谢!
阅读(489) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~