如何在网络中查找受感染的 PC

Question 1

安装wireshark应该可以让你知道哪台机器是罪魁祸首，因为它会用受感染 IP 的流量填满屏幕。这需要你要么插入内联集线器，因为它会“吸收”所有网络流量，并允许你对其进行分析，要么使用某种类型的交换机端口监控。

您是否正在运行任何类型的中央 AV，以便查看和检查日志？交换机怎么样？它是否受管理？您可以登录吗？

一个简单的方法是查看您的交换机。如果您的一台机器正在发送大量流量，您可能会看到一个端口已满，我已经无数次在没有任何类型的监控或过滤的地方使用这种方法了。您也可以逐个拔掉交换机上的网线，直到它停止，然后查看您的文档以了解哪台机器插入了该端口，或者开始关闭机器，直到流量消退。

Answer

安装wireshark应该可以让你知道哪台机器是罪魁祸首，因为它会用受感染 IP 的流量填满屏幕。这需要你要么插入内联集线器，因为它会“吸收”所有网络流量，并允许你对其进行分析，要么使用某种类型的交换机端口监控。

您是否正在运行任何类型的中央 AV，以便查看和检查日志？交换机怎么样？它是否受管理？您可以登录吗？

一个简单的方法是查看您的交换机。如果您的一台机器正在发送大量流量，您可能会看到一个端口已满，我已经无数次在没有任何类型的监控或过滤的地方使用这种方法了。您也可以逐个拔掉交换机上的网线，直到它停止，然后查看您的文档以了解哪台机器插入了该端口，或者开始关闭机器，直到流量消退。

Question 2

确实如此...您有防火墙或网络过滤器吗？如果有，您可以从那里开始，看看您的带宽被分配到哪里。您还可以嗅探网络，找出这些数据包被发送到哪里，然后拨入执行此操作的 IP。

Answer

确实如此...您有防火墙或网络过滤器吗？如果有，您可以从那里开始，看看您的带宽被分配到哪里。您还可以嗅探网络，找出这些数据包被发送到哪里，然后拨入执行此操作的 IP。

Question 3

最简单但耗时的方法是使用 malwarebytes 等非常高效的工具扫描所有文件（数量不多）。它帮我清理了一台充满木马和间谍软件的笔记本电脑。只需两次重启。太棒了。

Answer

最简单但耗时的方法是使用 malwarebytes 等非常高效的工具扫描所有文件（数量不多）。它帮我清理了一台充满木马和间谍软件的笔记本电脑。只需两次重启。太棒了。

Question 4

如果您可以看到路由器，那么您应该能够看到哪个端口有持续的活动。拔掉它的插头应该可以解决您的带宽问题。（确保它不是服务器。）如果网络布线记录良好，您可以从文档中找到主机而无需拔掉插头。

如果您有托管路由器，则可以检查端口上的活动计数器。查找计数器增加最快的端口。您应该能够获取端口上活动的 MAC 地址并将其追溯到主机。使用 ARP 获取 IP 地址。将 IP 地址追溯到主机的名称。

您可以通过查看每台 PC 的网络计数器或以太网接口上的活动指示灯来执行相同操作。

Answer

如果您可以看到路由器，那么您应该能够看到哪个端口有持续的活动。拔掉它的插头应该可以解决您的带宽问题。（确保它不是服务器。）如果网络布线记录良好，您可以从文档中找到主机而无需拔掉插头。

如果您有托管路由器，则可以检查端口上的活动计数器。查找计数器增加最快的端口。您应该能够获取端口上活动的 MAC 地址并将其追溯到主机。使用 ARP 获取 IP 地址。将 IP 地址追溯到主机的名称。

您可以通过查看每台 PC 的网络计数器或以太网接口上的活动指示灯来执行相同操作。

相关内容