相信大家都听说过arp病毒木马吧？

机器一旦中了arp病毒，将会严重影响局域网的运行。

可是你还听说过wins风暴和netbios风暴吗？

现在就让我们一起来看一下吧（通过局域网的故障实例来说明）：

问题的发现：
就在最近几日，在局域网内出现大范围的WINS、NetBIOS广播及多种单点广播，严重影响网络运行。

环境说明：
局域网环境：
计算机数量为500台，经常开机的一半以上。

表面现象：
网络状况瞬间变坏，ping的结果是时断时续（通的少不通的多）；

Sniffer监控结果：
仪表盘显示3K～10K包/秒，但利用率非常低。
Size Distribute显示都是非常短的包，正应了这一点。

Sniffer捕获分析结果：
多个IP在连续发送WINS广播，（几天后又出现NetBIOS广播），单个节点发送速度达到5000～10000 Packets/s，一般持续0.3～0.6s。
另外，不知是不是Sniffer接收包的问题造成的：
从捕获情况来看，同一时刻只有一个节点在广播，广播停止后不到1ms，另一个节点继而开始广播。

问题的解决：

牛刀小试：
1、关闭NetBEUI（NetBIOS），关闭TCP/IP高级属性中WINS的LMHOSTS查询和基于TCP/IP的NetBIOS查询。
说明：做了这个设置的机器，不再发送WINS广播；

2、在一个子网安装了WINS服务器，似乎该子网的WINS广播情况减少了一些。

在解决问题的过程中还发现了一些新问题：
发现了新的广播（以下都是以每秒几千个包的速度发送，一般持续不到1秒）。
当然，可能以前就存在这样的广播，只是影响不大，没有发现。

1）向局域网发送UDP广播。
经查，属联网游戏造成（魔兽）。

2）从N多个外部站点（貌似国外网站）疯狂接收UDP。
经查，属电驴造成。

3）疯狂向DNS服务器发送域名查询请求“player.uusee.com ”。
经查该网站为提供网络电视的“悠视网”
3.1）还有一种是发往224.0.0.88的UDP，估计也是悠视客户端造成的。

4）疯狂向两个IP（72.51.37.233、66.199.250.170）发送TCP重传包。
经查，是Flashget的电驴功能，这两个IP是电驴的服务器，估计关闭FlashGet选项中EMULE中使用电驴协议的两个选项即可。

----------------------------------------------------
道高一尺魔高一丈