上网时断时续，上网缓慢

 

一、上网时断时续

1、考虑网络中某计算机ARP中毒可能

方法一：使用Sniffer抓包
　　在网络中的任意一台主机上运行抓包软件，捕获所有到达本主机的数据包。如果发现某个IP不断发送ARP Request请求包，这台主机一定就是病毒源。
　　原理：无论是何种ARP病毒变种，行为方式主要有两种：一是欺骗网关，二是欺骗网内的所有主机。最终的结果是在网关的ARP缓存表中，网内所有活动主机的MAC地址均为中病毒主机的MAC地址；网内所有主机的ARP缓存表中，网关的MAC地址也都是中病毒主机的MAC地址。前者保证了从网关到网内主机的数据报被发送到中毒主机，后者则相反，使得主机发往网关的数据报均被发送到中毒主机。

方法二：使用arp -a命令
　　任意选择两台不能上网的主机，在命令提示符状态下运行arp -a命令，如果在结果中，两台电脑除了网关的IP，MAC地址对应项外，都包含了另外一个IP，这可以断定这个IP就是病毒源。
　　原理：一般情况下，网内的主机只和网关通信。正常情况下，一台主机的ARP缓存中应该只有网关的MAC地址。如果有了其他主机的MAC地址，说明本地主机和这台主机最近有过数据通信发生。如果某台主机既不是网关也不是服务器，但和网内的其他主机都有数据通信活动，且此时又是ARP病毒的发作时期，那么病毒源就是他了。

方法三：使用tracert命令
　　在任意一台受影响的主机上，在命令提示符状态下运行tracert命令，具体的命令行为：tracert IP（该IP为外网地址），在跟踪一个外网地址时，第一跳却是另一个IP（不是网关地址），则这个IP就是病毒源。
　　原理：中毒主机在受影响的主机和网关之间，扮演着“中间人”的角色。所有本应该到达网关的数据包，由于错误的MAC地址，均被发送到了中毒主机上，此时中毒主机在该网络中充当缺省网关的作用。 

 

二、上网缓慢

1、考虑网络中某计算机中毒可能

排障方法：

（1）到防火墙上查看各终端的连接数统计、报文统计、或流量统计，异常者可疑性最大

（2）在交换机或防火墙上禁用异常终端看网速是否恢复