如何在networking中查找感染的电脑

安装wireshark应该给你一个关于哪台机器是罪魁祸首的指示，因为它会使来自感染IP的stream量充满屏幕。 这将要求您插入内联集线器，因为它将“吸收”所有networkingstream量，并允许您分析它，或者使用某种types的交换机端口监视。

你正在运行任何types的中央AV，你可以看看和检查日志？ 交换机怎么样，是否pipe理？ 你能login吗？

一个简单的方法是看看你的交换机。 如果你有一台机器正在爆炸一吨的stream量，你可能会看到一个端口已经溢出，我已经无数次地在没有任何types的监视或过滤的地方使用这个方法。 您也可以将交换机上的networking电缆逐个拔出，直到停止并查看您的文档中哪台机器插入了该端口，或者开始closures机器，直到stream量平息。

确实是……你有防火墙或网页filter吗？ 如果是这样，你可以从那里开始，看看你的带宽分配到哪里。 您也可以嗅探networking，找出许多这些数据包正在发送到哪里，然后拨入正在进行的IP。

最简单但耗时的方法是使用非常有效的工具（如恶意软件）来扫描所有内容，而不是很多。 它为我清理了一台装满木马和间谍软件的笔记本电脑。 在两次重新启动。 惊人。

另一个select是在系统上运行netstat，看看哪个用随机连接尝试填满表。

如果你能看到路由器，你应该能够看到哪个端口有恒定的活动。 拉上插头应该可以解决你的带宽问题。 （确保它不是服务器。）如果networking布线有详细logging，可以从文档中find主机，而不必拔出插头。

如果您有受pipe理的路由器，则可以检查端口上的活动计数器。 寻找有增长最快的柜台。 您应该能够在端口上获得活动的MAC地址，并将其追回到主机。 使用ARP来获取IP地址。 将IP地址跟踪到主机的名称。

你可以在个人电脑上以PC为基础，在他们的以太网接口上查看他们的networking计数器或活动指示灯。