三招快速找出局域网中病毒源头

在局域网环境中上网的朋友会经常碰到无故断线的情况，并且检查电脑也检查不出什么原因。其实出现这种情况，大部分情况下都是局域网中的某一台电脑感染了ARP类型的病毒所至。感染病毒，电脑一一杀毒，电脑过多的情况下显然很费时费力。

现在就告诉你这三招两式，快速找出局域网中的“毒瘤”。

小提示：ARP——Address Resolution Protocol的缩写，即地址解析协议。ARP负责将电脑的IP地址转换为对应的物理地址，即网卡的MAC地址。当发生ARP欺骗时，相关主机会收到错误的数据，从而造成断网的情况发生。

一、查看防火墙

日志局域网中有电脑感染ARP类型病毒后，一般从防火墙的日志中可以初步判断出感染病毒的主机。

感染病毒的机器的典型特征便是会不断的发出大量数据包，如果在日志中能看到来自同一IP的大量数据包，多半情况下是这台机器感染病毒了。

这里以Nokia IP40防火墙为例，进入防火墙管理界面后，查看日志项，在“Event Log”标签下可以明显看到内网中有一台机器不断的有数据包被防火墙拦截，并且间隔的时间都很短。目标地址为公司WEB服务器的外网IP地址，设置过滤策略时对WEB服务器特意加强保护，所以可以看到这些项目全部是红色标示出来的（图1）。

图1

到WEB服务器的数据包被拦截了，那些没有拦截的数据包呢？自然是到达了目的地，而“目的”主机自然会不间断的掉线了。

由于内网采用的DHCP服务器的方法，所以只知道IP地址还没有用，必须知道对应的MAC地址，才能查到病毒源。我们可以利用NBTSCAN来查找IP所对应的MAC地址。如果是知道MAC地址，同样可以使用NBBSCAN来得到IP地址（图2）。

图2

由此可见，防火墙日志，有些时候还是可以帮上点忙的。

小提示：如果没有专业的防火墙，那么直接在一台客户机上安装天网防火墙之类的软件产品，同样能够看到类似的提醒。