求助！局域网出现大量扫描137端口的广播包。

lzj_0619

安装ZA.

greenline1982

其余的客户机加入域，只设置dc服务器共享，把其他客户机的共享关闭，不要用everyone帐户，设置有密码的帐户，如果电脑多建议采取vlan

FuryMythos

ARP病毒

jayeeliu

现在arp病毒好像很流行啊

楼主描述的现象基本上就是arp病毒干的

封了137好像也不能解决这个问题，最主要的应该先找到源头，封了这个ip

在解决其他问题

trainee

应该不是ARP病毒
ARP中毒电脑假冒某个IP（经常是路由器），发ARP包给所有电脑，以刷新受害电脑的ARP缓存。因为ARP缓存每3分钟更新一次，所以这个中毒电脑每隔2-3分种群发一次才能假冒的住。
ARP病毒导致网络不正常，因为本该流入路由器（或其他电脑）的包 流到了中毒的电脑上。
封IP是没用的，因为那个IP是假的，只能封MAC地址

trainee

ARP病毒 范例
请看红色部分
那个MAC地址不是192.168.10.1的，它假冒192.168.10.1

[ 本帖最后由 trainee 于 2007-6-7 16:44 编辑 ]

sxlhb

怎样查arp病毒，谁有没有较好的办法

seaship

你先有没有记录?所有机器的mac.  通过交换机也可以查到,将其端口封掉

phlipzheng

抓到的不是arp报文，是netbios的报文。