科来抓的网络包 大家帮忙分析下

skyav

网吧内网不定时掉线
网吧总共　４个交换机
　一楼两　一个主交换　一个分交换
　２　楼两个分交换机
　白天２楼不开电源　不掉线

一到晚上　２楼开了电　就不定时掉线
　关闭２楼两交换机的电话再开就好了
掉线的时候同一交换机下PING不通  内网所有交换机掉线  并且同一交换下也PING不通

192.168.0.254这个机器是收费机器

252  253 是同一个游戏服务器 有2个网卡



把交换机关闭再开就好了


郁闷死了
大虾们帮分析下
  包下载

7777777777777777777777777777777777777777777777777777777777777777777777777777
主交换机上 接了  游戏 服务器  收费服务器   和  4个 客户机器
奇怪的 是 有时候掉线  收费机 和  这 4个 客户机器 不 掉   
有时候是全部网吧都 掉了

[ 本帖最后由 skyav 于 2008-10-17 19:43 编辑 ]

oldjiang

1、00:E0:4C:86:D1:A4/192.168.0.254有ARP扫描
2、192.168.0.25发包太多，而且只发不收，包的大小、序列号都相同

skyav

25号应该是没问题
我想知道下

ARP 那边对吗
192.168.0.254 确实有 ARP 问题
  我先了解下这个ARP 请求或者广播 对吗？

oldjiang

254这个IP，看着像个比较特殊的机器，ARP扫描不一定就有问题，有些管理软件比如某些收费软件就用ARP，如果不能找出合适的解释就可能有问题。

skyav

254这个机器是收费机
   应该是没病毒的

    但是现在 问题是掉线 后
关闭交换机再开 就好    换过交换机 换过交换机之间的连接线

掉线时候 全部交换机下的机器都不能PING了   内网全部不通
郁闷了

liuheliuxi

掉线的时候交换机的灯是什么状态，正常吗？

skyav

灯都是亮着的 应该正常

liuheliuxi

原帖由 skyav 于 2008-10-17 13:17 发表
灯都是亮着的 应该正常

闪烁吗？频率正常吗？断的时候你在哪里抓包的，有抓到包吗？

oldjiang

为什么说IP25的机器没有问题呢？

oldjiang

交换机有1、2级，关的是哪个交换机？
另外你那个包部署不对
主交换机、路由器是什么型号，看看手册支持端口镜像吗？
如果支持，就找个机器，接镜像口，单跑科来，抓一天包，看诊断
如果不支持，抓一天ARP等广播包

skyav

掉的时候 把二级交换机关一下电源再开就好了

  主交换机没关

  我再开着科来抓一天包看下吧
头都大了

skyav

13个机器是现在开了 13个机器

飞雪

楼主一个网吧，才13台计算机，而且抓包的计算机这么奇怪也不知道怎么回事。

[ 本帖最后由 飞雪 于 2008-10-17 14:29 编辑 ]

飞雪

我感觉楼主的思路有问题，你可以现断掉254.25.152这三台计算机，看问题还有吗，可以一个一个的排除，这样解决问题比较快。

oldjiang

科来最好不要装在服务器上，因为服务器本身流量就大

wastebaby

25&252这两台，重点查一下，或者在死的时候把这两台网线拔掉看看情况，OR换下这两台网卡

sb19871224

TCP 的序列号一样。。。可能是环路

oldjiang

也不像环路，IP标志不同

oldjiang

序列号相同不是问题，25这个机器机器接收了不少数据，为何包是单向的呢？同意飞雪观点

skyav

252  253 是 同一个游戏服务器   有2个网卡

  有时候 关闭下  254 能 好
有时候 关闭交换机能 好
有时候把交换机连接线拔下也 好
  现在考虑的是 交换机带宽不够 能造成什么现象那
明天换主交换看下
  谢谢各位了

skyav

昏死了
  下面机器 ARP -A

  有时候出现一片   MAC 全是  00-00-00-00-00-00

oldjiang

全0的mac，说明丢失了网关的地址
很多路由器有防ARP的功能，看看手册吧，如有，打开，注意频率不要太高
在论坛搜索“00-00-00-00-00-00”，按标题，全部版块，有几个帖子可供参考

oldjiang

参考http://www.csna.cn/forum.php?mod=viewthread&tid=9417的5#，设ARP过滤器，全天抓包看看

pctemplar

原帖由 oldjiang 于 2008-10-17 14:25 发表
科来最好不要装在服务器上，因为服务器本身流量就大

我就不发表啥建议了,包我也看了,问题LS的热心人都已经说了!
我只想说引用的这段话,好多新手都喜欢在服务器上抓包!
服务器上的游戏一般都比较大,怎么这么多新手都喜欢在服务器上抓包呢?
找台单机抓包不是更好吗?虽然我自己平时用自己的本本抓包,没有本本的做条网线总该容易吧?!
做好部署往台式机上一连不就行了!总之,在服务器上抓包就是"画蛇添足!"

linminwww

我把我的疑问说出来大家看看～～～～我怎么看都有点像攻击，要不就应用程序有问题
我们定位192.168.1.252
看一下数据据包

绝对时间为：18：27：56    数据包编号为：2551338
我们再看一秒钟后的

绝对时间为：18：27：56.999029       数据包编号为：2553028
2553028-2551338=1690在不到一秒钟时间内发出这么多包～～～并且多为64字节的碎片。
应该是不正常的，那位高人能解释下。

guo-li51

建议抓ARP请求的数据包，如果在一秒之内发送20个以上的ARP请求的数据包已经是不正常了。定位MAC地址，然后查找源地址，看是不是合法的MAC地址。