CSNA网络分析论坛
网络分析技术
学习交流平台
科来网络全流量安全分析系统 下载网络分析软件↓
下载网络分析教程↓
下载高清网络协议图↓

返回列表 回复 发帖

[求助] 我们网络的一个奇怪的现象!

我公司网络最近经常出现断网的情况,用科来抓包分析,断网时有大量的DNS包,数据包详见附件。应该是IPHONE或IPAD在连接公司无线网络时出现的数据包。高手给看一下如何解决吧!
附件: 您所在的用户组无法下载或查看附件
自己先顶一下,谢谢啦!
我先下载 看看啊 ~~
谢谢!这个问题困扰我好长时间啦!
首先,你这个包应该是在本机上抓的,没有做镜像,分析起来可能不全面。
接着,主要抓到了一些组播,这些组播流量很高,本机最高能收到30Mbps的组播。既然本机能收到这种组播,那其他主机估计也会收到,这样的话可想而知交换机的负载一定很高。找出了两个发组播的MAC:FC:25:3F:42:6D:3C、B8:17:C2:12:FA:23
另外,也发现了一些主动发送ARP响应的MAC:FC:FA:F7:27:94:2F,并且以源IP地址:                                  192.168.9.170发出的,请确认主机192.168.9.170的真实MAC。如果不同,则存在异常。


希望能对你有帮助
嗯,现在应该可以确定是组播的问题。ARP那个没问题。为什么IPHONE在连接无线网线时会发出这么多组播的数据包呢?正是因为我单机上就收到这么多数据包。交换机肯定受不了。有没有什么办法解决这个问题。我的无线路由网线是在内网上插着,把DHCP关掉了。并且局域网内有多个这样的路由。
这个是不是IPHONE的一种寻址方式,由于没能获取到IP,然后通过组播来进行传输。
你尝试把DHCP打开呢?
网里有DHCP,不是每次连接都出现这个问题,只是偶尔会出现。
我公司网络最近经常出现断网的情况,用科来抓包分析,断网时有大量的DNS包,数据包详见附件。应该是IPHONE或IPAD在连接公司无线网络时出现的数据包。高手给看一下如何解决吧!
逐日 发表于 2012-9-19 10:59
我下载了其数据包文件,并选其中的一个数据包文件进行了大致的分析:
1, 在数据包视图中查看其发包频率,如下图:

在1秒的时间内 发送了15542个IPv6的多播报文,这种发包频率,足以影响相关无线路由、交换机等设备的处理性能,而接收方对多播报文的处理流程决定了过多的多播报文对网络和主机的影响,大家可参考本人个人博客中《基于UDP组播实施分片攻击的可能性》一文。
2,我们查看其详细解码:

IPV6封装UDP 5353端口的DNS请求行为,经网络搜索相关信息,确认为Multicast DNS(组播DNS)报文;
       经查阅相关资料,苹果系列产品在本地局域网内缺少DNS服务器的环境下,使用Multicast DNS,实现名字和IP地址的解析,每个主机都知道自己的名字,并且会自动响应来自多播报文中针对该名字的请求。 使用Multicast DNS的设备大致工作过程如下:
1,在“.local.”子域下,挑选所需的名字;
2,使用Multicast DNS进行名字查询,看是否有主机已经使用了这个名字;
3,如果收到来自与其他主机的名字解析响应,则在“.local.”子域下重新选择一个名字,直至确认本地局域网内无其他设备使用该名字为止。
       大家可参考苹果支持主页中关于“Multicast DNS”的相关页面:http://support.apple.com/kb/TA20999?viewlocale=en_US;
       这些都明确说明这个报文是iPhone发出的Multicast DNS报文,但是异常之处在于设备发包的频率太快了,而楼主反馈说,“不是每次连接都出现这个问题,只是偶尔会出现”,这也从侧面说明这个异常行为应该是属于iPhone本身跟“Multicast DNS”有关的进程异常导致的,可能是iPhone的BUG亦未可知。
       我在搜索相关信息的时候,竟然找到了一篇跟MAC OS相关的DNS异常问题的帖子,应该属于相关内容了,感兴趣的可以自行查看下面连接:http://blog.sina.com.cn/s/blog_539a3a320100q5dq.html
欢迎大家关注我的个人博客:www.vants.org
我直接从我个人博客里粘帖过来的,看不到图片,感兴趣的可访问我个人博客的链接:http://www.vants.org/?post=130查看。
欢迎大家关注我的个人博客:www.vants.org
我很怀疑出问题的时候,Iphone与PC通过数据线连接同时还开着wifi连入与pc机相同的VLAN,然后PC机上开启了同步工具。
导致Iphone用wifi发送给ff02::fb的multicast DNS包被PC机收到后,又被同步工具交给了Iphone的socket,从而造成了循环发送。
否则,每秒16000个包的发送量太说不通了,如果是这么大的bug早就应该有人发现了。
学习中
我很怀疑出问题的时候,Iphone与PC通过数据线连接同时还开着wifi连入与pc机相同的VLAN,然后PC机上开启了同步工具。
导致Iphone用wifi发送给ff02::fb的multicast DNS包被PC机收到后,又被同步工具交给了Iphone的soc ...
steve-zhu 发表于 2012-9-24 15:44
有些道理,但是实在不清楚智能手机与PC同步的工作机制,不知是否有相关资料共享?
但每秒16000左右的报文,以iPhone的配置,应该问题不大。
欢迎大家关注我的个人博客:www.vants.org
14# 孤独的意尹者 我也没有找到Iphone同步工具的资料,只是怀疑。我觉的正常情况下,iphone不可能每秒发16000次组播DNS查询,如果是程序出现死循环导致大量重复发送应该属于比较严重的BUG,在互联网上应该能找到相关报告,可是在google上找不到相关的主题。所以我比较怀疑是第三方同步工具引起的,不过本屌丝没有Iphone做不了这个实验,不知有没有网友用几个第三方的同步工具在pc上抓包看看能不能还原故障现象。
谢谢大家的回复。现在还是没找到肯定的解决办法。前段时间密码忙了,一直也没给大家回复。
我公司也出了这个问题,问下楼主解决了么?
返回列表