有人攻击我电脑，怎么查询？

2009-11-24 23:51:52 Intrusion.Win.MSSQL.worm.Helkern 218.249.117.196 UDP 1434

从卡巴复制的

如果您的网络部分计算机无法上网或者网络断断续续、IP冲突等问题，建议您立即在无法上网的计算机上安装“ARP防火墙”，使用以下3种方法来快速解决ARP问题：

ARP防火墙下载地址： http://www.antiarp.com/download.htm
ARP防火墙安装帮助： http://www.antiarp.com/AASHelp.asp

一．［外部攻击］

１、如果“ARP防火墙”出现受到外部ARP攻击的提示，说明你的局域网存在ARP攻击问题：一般情况下软件能自动显示攻击者IP地址，如果无法显示攻击者的IP地址，请点击软件界面上的“扫描”按钮，约5分钟后会自动显示攻击者IP地

址。

如果无法显示攻击者真实IP，可能这个MAC地址是虚假的，也就是局域网中没有这个MAC地址，请通过以下方法来解决：

Q: 如果攻击者的MAC是伪造的，有办法查到攻击者是谁吗？
A: 如果你的交换机带网管功能，是可以查到的。假设攻击者伪造的MAC地址为AA-AA-AA-AA-AA-AA，办法如下：
(1) 登录核心交换机，通过以下命令查询虚假MAC的来源
#sh mac-address-table dynamic address aaaa.aaaa.aaaa
命令输出类似如下：
Mac Address Table
-------------------------------------------

Vlan Mac Address Type Ports
---- ----------- -------- -----
7 0010.db58.3480 DYNAMIC Po1
7 aaaa.aaaa.aaaa DYNAMIC Gi1/0/11 <<<<<

(2) 通过以下命令查询Gi1/0/11接的主机，还是网络设备
#show cdp neighbors
如果Gi1/0/11接的是交换机，那么登录此交换机，重复上述操作。如果接的是主机，那么此主机即是攻击者。

二．［ARP流量分析]

1、ARP防火墙V6.0.0版本默认开启“ARP流量分析”，如果局域网某台计算机正在运行网络执法官、网络剪刀手、p2p终结者以及聚生网管，软件将会自动显示该台计算机的IP地址。您可以点击“当前状态”界面的“查看更多日

志”查看详细数据。

2、通过分析接受到的ARP数据包能有效的判断当前局域网是否存在ARP问题。点击“当前状态”界面的“查看更多日志”，再点击“ARP流量分析”选项卡，右击“累计”栏目进行排序，如果“ 广播-Request　”　和“ 非广播-Reply　

”的数量超过200或者更多，请注意这些计算机很有可能存在问题，建议最有效的方法是在这些计算机上安装ARP防火墙。

三、［对外ARP攻击］

1、如果安装了ARP防火墙出现对外ARP攻击提示，说明当前计算机中毒或者对外发送欺骗数据，ARP防火墙已经完全具备ARP病毒专杀功能，请参阅 http://www.antiarp.com/bbs/ShowPost.asp?ThreadID=1554

四、[混杂模式]

1、如果通过以上方法都无法定位ARP攻击者，可以通过判断局域网计算机网卡混杂模式来定位可疑IP。点击软件界面“扫描”按钮，然后再点击软件界面“网络主机列表”选项卡，程序扫描过程大约需要5分钟，扫描完成之后程序会将可

疑IP标红，请注意这些计算机很可能就是攻击者，建议最有效的方法是在这些计算机上安装ARP防火墙。

这个是卡巴的拦截日志，一个针对MSSQL数据库的蠕虫病毒，不过攻击已经拦截了就无所谓了。你只要电脑上没有MSSQL这个数据库就行了，一般不会被攻击成功的。

如果你的路由器或者防火墙功能足够强大，直接把218.249.117.196这个IP添加到黑名单过滤其发送的所有数据就OK

如以上回答内容为低俗、色情、不良、暴力、侵权、涉及违法等信息，可以点下面链接进行举报！

点此我要举报以上问答信息