引言：系统和网络监控遇到问题怎么办？别着急，本文给大家罗列了平时经常会遇到的问题和解决办法。

某规模不大的培训机房，其局域网中用的都是H3C设备，整个网络通过S3600交换机配合下面的傻瓜交换机进行管理的，在这种组网情况下，能否找到一种有效的办法，远程监控局域网中比较严重的ARP攻击问题，

比方说通过升级交换机后台系统版本或配置参数等办法来远程监控ARP攻击呢？

答：一般来说，远程监控和查杀ARP病毒比较有效的办法，就是在局域网中部署专业的安全工具来监控和查杀，例如通过360安全防火墙、卡巴斯基等工具来监控、查杀，而通过交换机设备监控和查杀ARP病毒，往往是难以获得令人满意效果的。

大家都知道，病毒、木马往往喜欢“躲”到“开始”菜单或注册表中，其实组策略也是它们经常“藏身”的地方，请问怎样监控到系统组策略中是否隐藏了病毒、木马呢？

答：只要打开系统组策略编辑窗口，定位到“用户配置”、“管理模板”、“系统”、“登录”节点上，双击目标节点下的“在用户登录时运行这些程序”选项，选中“已启用”选项，再单击“显示”按钮，检查其后界面中是否存在莫名奇妙的内容，默认这里应该是空的，一旦监控到有内容存在，那就能断定组策略中隐藏了病毒、木马。

当H3C交换机的某个端口启用了网络回路监控功能后，该功能默认会每隔30秒扫描、监控一次所有交换端口，显然这么频繁地扫描，会拖累交换机的工作性能，请问如何延长它的扫描监控时间？

答：其实很简单！只要进入目标交换端口的视图模式状态，使用“loopbackdetection interval-time x”命令（其中x为具体时间数值，它的单位为秒钟），就能调整扫描、监控时间了。

虽然启用脱机共享访问功能，可以提高共享访问效率，但是这种功能容易暴露用户的共享隐私内容，如果不希望别人监控到共享隐私内容，我们该如何进行防范呢？

答：只有暂时关闭脱机文件功能了。在进行这种操作时，先定位到“计算机配置”、“管理模板”、“网络”、“脱机文件”组策略节点上，双击目标节点下的“允许或不允许使用‘脱机文件’功能”选项，选中“已禁用”选项，同时单击“确定”按钮保存设置，这样别人就不会轻易监控到共享隐私内容了。

某单位大约有100来台终端电脑，这些电脑先连接到普通的TP-LINK楼层交换机上，再通过3com 4250t交换机上网访问，不过最近有用户反映，终端电脑的上网速度比较慢，而有的电脑甚至连简单的网页都打不开，估计可能是有人偷偷进行BT下载，请问有什么办法能监控到谁在偷偷下载，或者能限制用户的下载？

答：可以在网络中部署安装sniffer之类的监控软件，借助该软件的数据流量视图，用户就能很轻易地发现网络中究竟哪台终端电脑的数据流量比较大，一般来说流量不正常的终端电脑，可能正在偷偷进行BT下载操作。当然如果交换机支持流量查看功能的话，用户只要使用相关命令扫描各个交换端口，观察每一端口的流量变化状态，也能找到偷偷下载的终端电脑。要想限制用户随意下载，可以借助超级网管、网路岗、聚生网管等网管工具软件来实现限制下载目的。

Quidway S8500路由交换机可以同时插入若干块板卡，每块板卡可以负载24个光端口，每个端口的状态都会影响板卡工作状态，如果光端口输入、输出请求比较多，板卡就要耗费更多CPU资源应付这些请求，如果CPU资源消耗严重时，整块板卡都可能无法工作。请问，如何监控到板卡的工作状态是否正常？

答：为了及时了解板卡工作状态，只要对它们的CPU资源使用情况进行监控，要是发现CPU消耗率在50%以上时，就要排查板卡上每个光端口的流量状态是否正常了，直到找出不正常的端口，同时执行“shutdown”命令关闭端口工作状态。在查看板卡CPU资源消耗情况时，可以先将交换机系统切换到全局视图模式状态，通过“display cpu”命令，就能发现板卡最近五秒钟、最近一分钟、最近五分钟的CPU资源消耗情况了。除了CPU消耗情况会影响板卡状态，板卡温度也会对其工作状态产生影响，要是交换机散热不良的话，那么板卡温度将会持续上升，同时温度的不断攀升，会影响路由交换机的响应能力，严重时能造成交换机发生死机现象。所以，通过“display en”命令查看板卡温度，也能监控到网卡的工作状态是否正常。

在进行共享访问时，有没有办法让系统自动监控记录用户的共享登录密码，从而提高共享登录效率呢？

答：很简单！在共享主机系统中，依次单击“开始”、“运行”选项，在系统运行框中输入“control userpasswords2”，按回车键后，弹出系统安全设置界面；点选“用户”标签，选中“要使用本机，用户必须输入用户名和密码”复选项，按“应用”按钮让设置立即生效，这样用户日后每次进行共享登录时，系统才会自动弹出登录验证窗口。之后，从其他客户端系统尝试进行共享登录，当弹出验证对话框时，正确输入用户名、密码后，必须同时选中对话框中的“记住我的密码”选项，如此一来系统日后就能自动监控记录对应用户的共享登录密码了。

小张最近有点烦，自己在单位的电脑前天还是好好的，今天回来使用后发现系统已经感染了autorun病毒，由于自己的系统刚刚才重新安装过，小张断定肯定有人在自己的系统中插入了带毒优盘，可是询问同事，竟然没有人承认在他的电脑中使用过优盘，那么小张如何才能监控到带毒优盘呢？

答：事实上，带毒优盘只要插入到电脑系统中，就会在该系统的注册表中留下蛛丝马迹，因此从注册表中就能轻易监控到带毒优盘。只要依次单击“开始”、“运行”，执行“cmd”，输入“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR /s”命令，按回车键后，从返回的结果信息中，我 们 能 在“FriendlyName”位置处看到究竟有哪些品牌的优盘在本地系统中使用过。比方说，现已查明在本地系统中使用过的优盘有两个品牌，一个是联想的，另外一个是索尼的，如果自己的优盘是联想的，那么带毒优盘肯定就是索尼优盘。如果在本地系统中使用过的优盘比较多时，可以通过“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR /s ＞d：aaa.txt”命令，将优盘插入记录输出到特定文本文件中，日后打开该文本文件，将每个“FriendlyName”关键字后面的优盘品牌信息记录下，再根据品牌信息进行排查，相信这样就能找到带毒优盘。如果单位中的优盘品牌比较多时，可以通过“设备范例ID”，来判断所插优盘是否是带毒优盘；只要执行“reg query HKLMSYSTEMCurrentControlSetEnumUSBSTOR /s”命令，记录下每个优盘的设备范例ID，通过这条线索就能准确找到带毒优盘了。

一般来说，当黑客成功通过IPC$共享连接通道，入侵远程服务器系统后，所有入侵痕迹都会被服务器系统智能监控到，可是用户往往不能从中查找到相关监控记录，请问这是怎么回事？

答：很简单！为了躲避网管员的安全防范，黑客在入侵完服务器系统后，往往会从日志着手，清除相关监控记录，或者通过肉鸡入侵。

朋友在将自己的网际快车程序升级到最新版本后，发现拷贝完下载链接地址后，网际快车程序没有象以往那样自动打开添加下载任务对话框，而只能采用手工方法添加下载任务，不知道这是怎么回事？

答：这种问题很可能是新版本的网际快车程序没有启用监控粘贴功能，此时我们可以在网际快车程序界面中，点选“工具”菜单项下面的“监视粘贴板”选项，将“监视粘贴板”功能启用好。

在Windows XP系统中，安装了一台HP LaserJet 1200网络打印机，局域网中的用户原先都能通过它正常进行网络打印操作，不过最近用户无法通过网上邻居窗口监控到网络打印机了，同时也不能监控到该系统中的其他共享资源了，不知道是什么情况？

答：首先使用ping命令测试网络打印机所在主机系统的IP地址能否ping通，在正常ping通的情况下，查看对应系统的共享资源是否发布正常。在排除上述因素后，如果仍然无法解决问题的话，那多半是该系统的IPC$服务被意外停用了，因为如果该服务工作不正常，那么其他客户端系统的网上邻居窗口就不能看到网络打印机。此时，可以对应系统的DOS命令行窗口，通过“net share”命令就能判断IPC$服务有没有正常工作了。一旦看到IPC$服务还没有被运行时，可以执行“net share IPC$”命令，来恢复它的运行状态，相信这样就能解决问题了。

现在的局域网经常会受到ARP病毒的攻击，每次遭遇病毒攻击后，H3C交换机几乎都能及时监控到病毒引起的地址冲突现象，那么根据这种监控记录，能准确找出具体感染病毒的主机系统吗？

答：答案是肯定的！首先在交换机后台系统，使用“dis logbuff”命令，查看后台系统日志信息，找到监控到具体的地址冲突记录，从中记下感染ARP病毒的主机MAC地址，以及该主机系统所处的VLAN信息；其次根据VLAN信息，查找单位的组网资料，获得病毒主机所连交换机的IP地址；第三远程登录进目标交换机后台系统，使用“disp mac-address”命令，来查看该交换机的端口与MAC地址的映射记录；第四根据病毒主机MAC地址信息，判断出病毒主机究竟连接在目标交换机的那个交换端口上；第五进入病毒主机所连交换端口视图模式状态，执行“shutdown”命令，切断病毒主机与单位局域网的连接，以免ARP病毒继续攻击网络中的其他主机；第六赶到病毒主机与交换机所连端口现场，检查端口线缆上是否有标签说明，或者直接顺着网络线缆，找出病毒主机的具体位置；最后使用专业工具查杀干净ARP病毒，再将病毒主机接入网络，同时在对应交换端口视图模式状态下执行“undo shutdown”命令，恢复病毒主机的上网连接状态。

为了实现最好隐藏效果，黑客有时会通过一些专业工具来创建系统隐藏账号，这类账号在Windows 7系统中往往无法被直接监控到，这该如何是好呢？

答：虽然无法直接监控，但是可以利用Windows 7系统内置的审核策略功能，对系统隐藏账号的操作行为进行监控。首先依次单击“开始”、“运行”命令，在系统运行对话框中执行“gpedit.msc”命令，弹出系统组策略编辑对话框，将鼠标定位于“计算机配置”、“Windows 设置”、“安全设置”、“本地策略”、“审核策略”节点上，双击目标节点下的“审核策略更改”组策略，在弹出的编辑对话框中勾选“成功”、“失败”选项，再按“确定”按钮。按照同样的方法对“审核过程追踪”、“审核登录事件”等组策略，进行一样的设置操作。日后，Windows 7系统就能对所有隐藏账户的登录行为进行监控记录，到时从计算机管理窗口中打开“事件查看器”，就能准确获悉系统隐藏账号的名称，甚至登录系统的时间了。发现了这类隐藏账号后，虽然无法直接将其删除，但是可以通过“net user aaaa bbbb”命 令（其中“aaaa”为隐藏账号名称，“bbbb”为新的登录密码），来调整隐藏账户的登录密码，让隐藏账户无法正常登录。

Windows 7系统的快捷搜索框默认会监控记录用户的搜索痕迹，显然这会威胁用户的搜索隐私安全，请问有没有办法不让搜索隐私被监控到？

答：很简单，只要禁止Windows 7系统显示搜索记录就OK了。要做到这一点，先从组策略编辑窗口左侧逐一展开“用户配置”、“管理模板”、“Windows组件”、“Windows资源管理器”节点，双击“在Windows资源管理器搜索框中关闭最近搜索条目的显示”选项，选中“已启用”选项，再单击“确定”按钮，这样用户日后的搜索隐私就不会被自动监控了。

公司有一台笔记本安装的是Windows 7旗舰版系统，利用内置无线网卡访问公司无线局域网，查看对应网络连接状态，发现一切正常。不过，尝试通过无线网络监控某台客户机中的共享资源时，竟然无法监控到共享资源的“身影”，对于这种现象，不知道该怎样解决？

答：首先换台系统测试共享文件夹能否正常访问，如果其他计算机系统可以监控到共享资源，那问题多半是Windows 7系统的无线上网配置不正确。此时，打开该系统的网络连接列表窗口，用鼠标右击无线网络连接图标，从弹出的右键菜单中选择“属性”命令，进入无线网络连接属性框，在这里认真查看无线网络的SSID名称、WEP加密等设置，保证大小写字符输入正确无误；之后切换到常规标签设置页面，看看“Microsoft网络的文件和打印机共享”功能组件有没有安装，如果发现它还没有被安装时，应该立即将它重新选中，确保Windows 7系统开启文件和打印机共享组件。

恶意用户偷偷建立IPC$空连接的目的，主要就是悄悄监控对方计算机中的用户列表和信息，请问有没有办法禁止用户随意建立IPC$空连接，以监控用户列表和信息？

答：只要修改系统注册表相关键值即可。依次单击“开始”、“运行”命令，在弹出的系统运行对话框中执行“regedit”命令，将鼠标定位到注册表编辑界面左侧列表中的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA节点上，在该节点下面手工创建好字符串键值“RestrictAnonymous”，同时将该键值数值设置为“1”，最后重新启动计算机系统。

既然病毒木马程序会悄悄地将自身植入到系统启动项中，以实现跟随Windows系统启动而自运行目的，那么能否对系统注册表和系统服务列表中的内容进行智能监控，以便将潜藏于这些位置处的系统启动项变化情况了如指掌呢？

答：答案是肯定的！我们只要利用RegWorkshop，来自动监控系统注册表中的系统启动项变化情况，在监控时先执行“创建本地注册表快照”命令，为系统注册表原始状态生成一个快照1，过一段时间后，再执行相同命令为系统注册表生成一个快照2；接着利用该程序的“比较注册表”命令，将两个快照进行比较，就能判断出系统注册表的变化状态了。一旦发现注册表中有新的系统启动项时，那我们应该对它们加以警惕，要是不能辨别它们的来源，必须将它们从系统启动项中删除掉。在监控服务列表中的系统启动项变化状态时，只要利用系统自带的net start命令，先将原始系统服务状态备份下来，比方说运行“net start＞ D：111.txt”命令，就能将所有自启动型服务备份到“D：111.txt”文件中了，过一段时间后，再备份一次系统服务状态，最后比较两个备份文件，如果有新的自启动服务生成时，我们应该识别它们的来源，当确认它们是非法的或不常见的，应该强行关闭它们的运行状态。

在上网冲浪时，我们在网页表单中填写的各种账号信息，默认都会被IE浏览器的Cookie功能和系统缓存自动记忆，要是有人通过恶意工具对Cookie内容和系统缓存进行悄悄监控时，那么填写的表单内容就会被人窃取，请问怎样预防Cookie或缓存内容被非法监控呢？

答：现在很多在线交易站点都支持安全“退出”功能，巧妙通过该功能，能强制IE浏览器在退出在线交易页面时，对存储在系统Cookie或缓存中的隐私信息进行自动清除，那样一来别人就无法监控到Cookie或缓存内容了。例如，在访问完中国工商银行个人网上银行交易页面后，按下右上角区域处的“退出”按钮，退出功能就会自动清除存储在Cookie文件中的隐私信息了，同时还会自动清除存储在系统硬盘缓存以及内存缓存中的隐私信息。

在规模大一些的局域网中，不少网管员会将核心交换机的DHCP中继代理功能配置启用起来，同时结合DHCP服务器，为客户机提供IP地址分配服务。然而，核心交换机的DHCP中继代理状态，会对客户机的网络连接状态造成影响；不少客户机不能获取动态IP地址，都是因为DHCP中继代理状态不正常造成的。那么日后当再次遇到客户机无法上网现象时，该怎样监控到核心交换机的中继状态是否正常呢？

答：先进入交换机后台系统全局视图模式状态，输入字符串命令“display dhcpserver GroupNo”，检查指定的DHCP服务器是否有效，也就是说，这里指向的DHCP服务器地址与局域网中真实有效的DHCP服务器地址是否相同，要是不相同的话，一定要重新修改过来。而且，从该命令返回的结果中，我们还能识别交换端口接收报文的状态；一旦看到交换机只能接收discover报文，而无法接收响应报文，那就说明局域网中的指定DHCP服务器不能正常向交换机发送报文，此时应该认真检查DHCP服务器的工作状态是否正常。在DHCP服务器状态正常时，尝试在其中通过ping命令测试无法上网客户机所在Vlan的IP地址，以便识别DHCP服务器能否找到指定客户机所在网段的路由，要是无法找到的话，那可能是DHCP服务器的网关地址没有配置好，此时只要将该网关地址配置为客户机所在Vlan接口的IP地址就能解决问题了。

有一位朋友曾经遇到一种顽固病毒，用最新的正版杀毒软件监控到病毒已被清除，可是换用另外一种杀毒软件监控时，却提示病毒仍然存在，请问这是什么原因？

答：出现这种现象，多半是顽固病毒采用了多种手段进行自我保护引起的。比方说，病毒可能会将一个dll文件插入到系统进程中，同时还会暗中启用另外两个病毒进程进行协同保护，如此一来即使杀毒软件删除了其中一个病毒进程的文件，不过将计算机系统重新启动后，另外两个病毒进程又会发作运行，并生成上次被删除的病毒文件。更为麻烦的是，有的病毒进程每次随系统重新启动后，生成的病毒文件名称会随机变化，这给杀毒软件彻底删除干净病毒带来了不小的麻烦，最终给用户造成了一种错觉，认为网络病毒无法被清除干净。