我们的网络中有 24 台 PC。我认为有 1 台或多台 PC 受到了攻击,并且正在消耗我们所有的带宽。
谁能推荐一种工具来从我们的网络中找出受感染的 PC。
答案1
安装wireshark应该可以让你知道哪台机器是罪魁祸首,因为它会用受感染 IP 的流量填满屏幕。这需要你要么插入内联集线器,因为它会“吸收”所有网络流量,并允许你对其进行分析,要么使用某种类型的交换机端口监控。
您是否正在运行任何类型的中央 AV,以便查看和检查日志?交换机怎么样?它是否受管理?您可以登录吗?
一个简单的方法是查看您的交换机。如果您的一台机器正在发送大量流量,您可能会看到一个端口已满,我已经无数次在没有任何类型的监控或过滤的地方使用这种方法了。您也可以逐个拔掉交换机上的网线,直到它停止,然后查看您的文档以了解哪台机器插入了该端口,或者开始关闭机器,直到流量消退。
答案2
确实如此...您有防火墙或网络过滤器吗?如果有,您可以从那里开始,看看您的带宽被分配到哪里。您还可以嗅探网络,找出这些数据包被发送到哪里,然后拨入执行此操作的 IP。
答案3
最简单但耗时的方法是使用 malwarebytes 等非常高效的工具扫描所有文件(数量不多)。它帮我清理了一台充满木马和间谍软件的笔记本电脑。只需两次重启。太棒了。
答案4
如果您可以看到路由器,那么您应该能够看到哪个端口有持续的活动。拔掉它的插头应该可以解决您的带宽问题。(确保它不是服务器。)如果网络布线记录良好,您可以从文档中找到主机而无需拔掉插头。
如果您有托管路由器,则可以检查端口上的活动计数器。查找计数器增加最快的端口。您应该能够获取端口上活动的 MAC 地址并将其追溯到主机。使用 ARP 获取 IP 地址。将 IP 地址追溯到主机的名称。
您可以通过查看每台 PC 的网络计数器或以太网接口上的活动指示灯来执行相同操作。