网络异常连接 难道又是ARP惹的祸？

鸿鹄

今天刚上班，就被同事小李拽到他的位置上，让我帮他“修理”一下他的爱机，呵呵，没办法，谁叫我是网络管理员呢。据小李描述：他今天早上开机及使用的时候系统运行都比较慢，重启了几次，都是如此，通过这些故障现象，我首先查看了windows的加载项，也查看了注册表的启动项，发现均无异常，再进一步查杀病毒和木马，也没有什么发现，仔细一想，开机时运行较慢，肯定是有什么后台程序在运行，病毒或者木马的嫌疑应该是最大的。但是用什么方法能够找到呢？正好，前段时间用了科来网络分析系统，对这个软件的使用及故障分析还是有一点经验，现在，正好用科来网络分析系统抓包来看看该主机的网络通讯，看是否能找到突破口。于是，马上登陆科来软件的官网网站，当下了科来网络分析系统技术交流版，在电脑上安装运行（注：由于只抓本机的数据包，所以，并不需要做端口镜像之类的前期部署工作），注册完毕，开始抓包。
   大约2分钟以后，停止抓包，我们来看一下该主机（192.168.0.38）的网络通讯，在矩阵视图中，可以清楚的看到该主机在这2分钟内与网络中的哪些主机或设备进行过通讯，从下图来看，该主机与45个端点进行过通讯，并且通讯对象几乎全是内网IP，由于公司的电脑不多，40台左右，所以并未并未划分子网，从网络连接来看，该主机与内网中的所有主机都有过通讯，显然这不太正常，值得怀疑。