200命令行查看内网是否存在病毒.doc

《200命令行查看内网是否存在病毒.doc》由会员上传分享，免费在线阅读，更多相关内容在应用文档-天天文库。

1、命令行查看内网是否存在病毒内网用户不能上网，或者上网异常，但又不知道如何查看，如何解决，那为什么会出现这种情况呢？如何在命令行中更快地查看并发现问题呢？一、showsesshist输入此命令后，1、图一图二如果出现图一、图二两种情况之一，则表明内网可能有ARP欺骗，此时有两种方法可以避免受此病毒的影响：l做IP/MAC双向绑定；l内网使用PPPoE拨号上网，前提条件是设备必须支持PPPoE服务器功能。如果已经做了双向绑定，上述信息将不会影响上网，除非那台有病毒的主机关机以后，此信息才会被清除。2、图三出现以上信息，通过showipnattr33来查看192

2、.168.1.33的NAT会话，是出现大量会话呢还是数据有去无回？分为两种：A、第一种情况，可能超过了用户设置的NAT会话数，有可能是内网用户大量下载，可以对用户整体限速或是限制P2P的速度。B、第二种情况有可能是内网冲击波或蠕虫病毒；此时可以通过setinterfaceeth/1rxpps600命令来设置内网主机单位时间发包的数量为600pps。但是只能暂时缓解并不能根除，最好是让用户在病毒主机上杀毒。3、图四上图显示的信息表示内网有伪造源地址攻击，开启冲击波病毒（setsystemantiIpSpoofingyes）即可。一、showipnattr此命

3、令是查看用户的NAT会话，当用户可以登录QQ但打不开网页的时候，可以在此命令后输入该PC的最后一位IP地址，如查看192.168.1.33的会话，即输入showipnattr33即可，可查看会话是否有去无回。二、showiparpa)查看ARP表如果所有的MAC地址一样，则内网是ARP欺骗，解决方法不再描述，如果如上图显示，出现???pending???状态的用户不能上网，则有以下几种可能：lIP地址或者MAC已经绑定了其他的IP地址导致。l内网做了IP/MAC绑定，没有选中“只允许IP/MAC绑定的主机通过”那没有绑定的用户就会出现此状态。l做了绑定，但

4、是在IP/MAC绑定信息列表中，“允许”没有被选中一、Showratelimtfirate查看内网用户是否做了限速，是否有用户的上传/下载量特别大，通过showipnattr来具体查看该PC对应的会话，具体上网的行为，也可以通过mac地址找到该PC，手动操作。二、进入DEB模式输入deb，进入命令为：lakjas，会出现如下信息：1、rldebugde命令查看内网是否有udp、icmp、synflood防御，输入此命令以后没有任何显示，则表示正常，如果出现下图，则表示内网有udpflood攻击2、’（单引号）此命令可以查看每个接口上传下载的速度，如果上传远

5、远大于下载，则表示内网攻击，反之，则有可能是外网攻击，通过查看TX（下载），RX（上传）的speedKit来判断。3、filtercmspiinfo如果对应的字段一直在增加，则可能有攻击。、补充：ping–x源地址对端地址shcryipsaclearcryipsaall