前幾天在常去的咖啡店裡又發生了 Worm 攻擊事件。 某客人的電腦(Win2000)中了 Worm ,瘋狂的向 LAN 發出 request, 於是店裡的 AP 就被癱瘓了。

用 trfashow 一看,滿滿的好幾頁 connection。

無計可施之下,也只好輪詢所有在上網的客人, 說明情況,要求對方給我們看一下 netstat -n 。 大致上的說詞是這樣的:

「不好意思,請問現在你有在上網嗎?」 『本來有,可是現在連不上去』 「我們發現店裡有人電腦中毒,所以網路就癱瘓了,想要 一台台來確認一下」 (對方答應了,然後輸入 netstat -n) (不管是不是他,都要求對方關掉電腦網路卡,以免本身被感染,直到找到元兇為止)

這樣的方法實在很麻煩,非得一台台問不可,可是在 AP 不強力, 無法根據連線數量設定 Firewall 規則的情況之下,似乎是唯一的辦法。

不過,如果我是存心搗蛋的話,在本來輸入 netstat -n 的地方, 順手裝個木馬也行。

Cheers, Kang-min Liu