起首在客户端ping 网关地址后,然后在dos窗口下施行 arp –a 查看网关的mac地址,笔录下网关MAC地址。到交换机上查找交换机的MAC地址(例如VLAN1接口)
施行 show int vlan 1 查看输出信息中VLAN1接口MAC,同时施行 show standby vlan 1 查看HSRP网关MAC地址。
假设客户端展现的mac(假设为00-0d-0a-ac-bc-78)地址与网关地址差别,则可能是网关的MAC遭到ARP 病毒进攻。到交换机上施行show mac-address | in 000d。0aac。bc78 在输进信息中查找联系关系该MAC地址的端口,假设该端口是曲连PC或者SERVER的端口,那么该端口所连客户端可能传染ARP类病毒。
假设该端口毗连的是别的一台交换机,那么登岸到那台交换机上施行show mac-address | in 000d。0aac。bc78 曲到联系关系端口是曲连PC的端口位置。
2、假设客户端PC可以PING 通网关但是与其他VLAN的机器PING(假设该地址为192。
168。1。111)欠亨。起首在客户端ping 192。168。1。111后,然后在dos窗口下施行 arp –a 查看对方IP地址对应的mac地址,笔录下其MAC地址(有可能没有信息),同时在目标机器192。168。1。111上施行 ipconfig/all查看该机器网卡mac地址并笔录下(重视:交换机上展现的MAC地址和PC上展现的MAC地址格局纷歧样,交换机上为4个16进造数一组并以“。
”朋分,PC机上为2个16进造数为一组以”-”朋分)。在dos窗口下施行 tracert –d 192。168。1。111。查看tracert信息最初一跳抵达哪台交换机。登岸到那台交换机上施行PING 192。168。1。111,然后施行 show arp | in 192。
168。1。111 查看输出信息的mac地址与目标机器(192。168。1。111)的mac地址能否不异。假设差别(假设展现为 000a。da87。5bca),笔录下后施行 show mac-address | in 000a。da87。5bca 在输出信息查看该MAC地址联系关系到哪个端口,假设联系关系的端口毗连到别的一台交换机上则到那台交换机上施行show mac-address | in 000a。
da87。5bca,最末找到联系关系端口毗连是最末客户端(PC或者server)的端口,假设该端口不是实正毗连192。168。1。111的端口凡是该端口既是传染ARP类病毒的机器。在交换机上施行 show arp | in 000a。da87。5bca 输进信息凡是会展现该MAC会联系关系多个IP地址。
流量进攻型病毒的查找流程
假设局域网中通信不一般、丢包严峻,登岸到网关上也会延迟很大。