用了netstat -an查listening，没发现哪台电脑上有外网连接
有什么好办法深查吗？

把网管打一顿.

那是网管么事，你管那么多干啥……

网管为啥提示你？

赤裸裸暗示你是肉鸡啊！

你光查listening不行，99%的可能是主动往外连的。

回复4#hummer1114

学校网络中心发的邮件，我们办公室是通过路由器上网，邮件提示路由器获得的ip和mac地址存在肉鸡行为
让我们自己排查

那么，怎么排查呢？

请问怎么识别异常呢？

看成了提示局域网有人吃鸡

路由器看流量了!

asus路由器只能看到总的实时流量，24h流量和近三日的流量，但不能看每台电脑的流量
看流量确实有点儿高，四台电脑每天好几个g，但不知道哪一台电脑

就四台电脑啊，那好办，一台一台的查呗。所有程序都关了，看看网络连接，看哪些进程还在联网，排除法找出可疑的

简单啊，轮流拔网线看实时流量变化啊

根据ip/mac查不到对应的机器？

报的具体是什么肉鸡行为？一般能看到对外连接的端口的。

网络中心给的ip和mac是我们路由器的
就说我们路由器存在攻击学校服务器的行为

没有给端口信息

回复10#zpwinever

能看会话数吗，看看我会话数正常不正常

我说一个可能会被你们笑话，每台电脑装个360

其实很简单“我不会 你来检查下”

马克一下

回复18#lf0026
网管更简单“我没空，为了大网络的安全暂时把你ip封了，你们查清楚了通知我解封哈”

那不好查的，除非你在路由器上串接一个跟你的网管用的一样的系统来检测。

检测到后，看报的是什么肉鸡，或者找这个系统的厂家咨询一下为什么会报。

然后才有线索。

回复21#bartonhong

你们网管这么牛逼 这么懒

可以回复他：收到，请封IP，造成损失你全部承担并已投诉至你领导

说我不会有隐患的，应该说经过详细排查，未发现blabla，请提供详细信息以供进一步详查

回复24#kangta0624

你再看看，lz在高校。要是鸟你这些他就不算行政管理，试试看

诶，那确实没招了，认怂吧

好的，您的情况已作为本年度安全事故典型通报全公司，并报总经理建议按照网络安全管理规定对相关责任人做相关处罚。

事业单位的安全管理规范、相关应急预案、奖惩措施、保密规定、责任人清单....... 等着你。

现在很多智能交换机的安全管理很便捷,可以通过系统提供的工具进行查找.

这种问题的话，lz是不知道怎么深入挖掘，网管也袖手旁观

如果这样也被追责的话，只能说网管背景太牛逼

没法看的，因为攻击并不是每时每刻发生，接个交换机，给每台设备配ip，路由也接交换机下，再让上游设备回报。

你们还能私接路由，不是很规范啊。

如果在企业，你要这么回复第二天你就88了

不是网管背景厉害 是你太厉害了。企业里起码的信息安全培训你没遵守啊

楼主如果真不懂查的话，网线全拔了，然后一台台插上去看网络流量变化

我早上看错一次
刚刚又看错一次 客户自己端

没太懂你的逻辑啊，lz办公室的四台电脑需要他负责？

如果说要88的话，lz公司的网管不是说封IP的时候就应该被炒掉了么？

这个分两种情况。
1、设备管理是自治的：这样的话，设备自己管，网管给建议，和网管关系好的话，也许人家给你顺手解决了。

2、设备管理非自治的：网管一般禁止各部门随便按照软件，发现后要通报+扣分的，现在领导也怕有网络安全事件，不可能给部门背锅的。


一般这种情况大概率是机主装软件误中恶意软件。

封IP是网管的例行工作内容，没有任何商量，任何单位都是，不服找领导也没用。
你这个是典型不拿SA当干粮

给我的邮件里很清楚，限期整改，一周搞不定封ip

看路由器归属啊，按楼主的问法，这路由器应该不是单位的，那就自己解决了

那就先全拔了，一个路由也就4口。然后一台一台的接上去，看哪个机器会跑大流量。另外360不错的，查完再删么