第三步:扫描监控所有数据包,在左边查找数据包处按照协议来浏览,查看ARP信息,因为在学校最容易出现的就是ARP欺骗蠕虫病毒了,而且这个学校的故障症状也是全学校计算机无法上网,很可能就是虚假网关造成的问题。在ARP数据包下笔者查看“诊断”标签下的信息,在这里看到了有几个MAC地址对应的主机发送了太多的ARP请求数据包而没有得到应答。(如图3)
小提示:
由于感染ARP欺骗病毒的数据包会频繁向内网发送广播数据包以及单点数据包,目的地址是内网所有IP,所以当该IP没有对应活动主机时就会产生无应答的现象,这也是ARP欺骗病毒的一个显著特征。
