百年孤独

今天实验室里上网感觉不大对劲, 总是打不开网页, 怀疑有 ARP 病毒作祟, 就用 arp 命令查看了一下 ARP Entries, 结果如下:

C:\>arp -d & arp -a
接口: x.x.x.23 — 0xb
Internet 地址 物理地址 类型
x.x.x.1 00-15-f2-61-9d-fd 动态

C:\>arp -d & arp -a
未找到 ARP 项。

C:\>arp -d & arp -a
接口: x.x.x.23 — 0xb
Internet 地址 物理地址 类型
x.x.x.1 00-15-f2-61-9d-fd 动态

C:\>arp -d & arp -a
接口: x.x.x.23 — 0xb
Internet 地址 物理地址 类型
x.x.x.1 00-e0-fc-17-ea-78 动态

可以看到网关对应了两个 MAC 地址, 这其中至少有一个是病毒机. 我把两个地址都记录下来, 对实验室里所有正在运行的机子都挨个排查, 最终确定了“毒源”。