第一次抓包，希望大家帮忙给看看

青蛙

不知道抓的对不对，还忘大家不要见笑，刚刚接触还忘大家多关心
谢谢大家。
网络情况：最近PING网关的时间老是时断是连，已排除了ARP攻击的可能性。
有一台机子专门监控ARP病毒。


第四个包和第五个是最新的包，在抓包过程中出现严重丢包现象，
发现10.3.6.108在向10.3.7.0/24这个子网进行ARP扫描，搞不明白为什么象这个子网扫描呢（人为扫描）
还有就是昨天发现一个奇怪的问题，发现一个单机存在ARP地址期骗，当我过去重启了两次机子
也没有杀毒，ARP期骗没有了，这是不是说明他有木马，被别人临时控制呢


第6个包是今天上午11点抓的包，最新包，有一半终端

[ 本帖最后由 青蛙 于 2006-9-4 11:08 编辑 ]

artico

提问参考http://www.csna.cn/forum.php?mod ... &extra=page%3D2

artico

1、STK-FILM上有什么应用服务？
2、隔离STK-FILM看看网络有好转不？
3、监控ARP欺骗IP是多少？
4、检查10.3.6.103、10.3.6.108、10.3.6.61

青蛙

STK－FILM是电影服务器，关机也没有什么好转
我用的是AntiArpSniffer3进行ARP监控的，发现一个消
灭一个
上述IP对1433端口进行攻击，也没有什么大问题

wwwang

你能不能将你网络拓扑图传上来，以及设备的连接情况！可以检查一下，设备的配置情况，不排除硬件可能性哦！（因为我以前也遇到过PING网关掉包的事情，后来发现是三层模块的问题，网关是三层交换）

ValorZ

替青蛙兄上传的拓扑图

青蛙

感谢ValorZ 兄弟
设备，我认为没有什么问题。
CISCO4006（二层）肯定是好的，分为两个VALN，用天融信4000做的透明。我在天融信前面放了一台机子
在没有ARP攻击的时间没有断网的现象一切正常。天融信应该也是好的，我把挂在HUB上的线路断掉，不在丢包
情况好转。
第2个包是我今天下午抓的，有两个ARP攻击，10.3.6.240，10.3.6.98已断网
ARP已不是根本的原因。
我该怎么样找到凶手，还望各位大虾帮助

ValorZ

原帖由 青蛙 于 2006-8-31 22:41 发表
感谢ValorZ 兄弟
设备，我认为没有什么问题。
CISCO4006（二层）肯定是好的，分为两个VALN，用天融信4000做的透明。我在天融信前面放了一台机子
在没有ARP攻击的时间没有断网的现象一切正常。天融信应该也是好 ...

如果是伪造的数据包的话，查起来很难

artico

原帖由 青蛙 于 2006-8-31 18:13 发表
STK－FILM是电影服务器，关机也没有什么好转
我用的是AntiArpSniffer3进行ARP监控的，发现一个消
灭一个
上述IP对1433端口进行攻击，也没有什么大问题

1、10.3.6.103、10.3.6.108、10.3.6.61是对137端口通过扫描进行查询请求，而不是1433。你给的数据包就这3个IP较异常，如果没问题可能是设备、线路的问题
2、“是我今天下午抓的，有两个ARP攻击，10.3.6.240，10.3.6.98已断网”
实际上第2个包还是有一个10.3.6.98数据包
3、10.3.6.13是不是用来捕获数据的机子，并有通过10.3.6.37进行远程控制？
捕获数据请注意少加入人为因素，有的话请特别说明。不然，有可能分析时被当着异常现象！！！

artico

原帖由 青蛙 于 2006-8-31 22:41 发表
感谢ValorZ 兄弟
设备，我认为没有什么问题。
CISCO4006（二层）肯定是好的，分为两个VALN，用天融信4000做的透明。我在天融信前面放了一台机子
在没有ARP攻击的时间没有断网的现象一切正常。天融信应该也是好 ...

1、不知道你的网关是那个设备？IP为多少？
2、如果PING同子网IP会不会断呢？
3、“我把挂在HUB上的线路断掉”    不明白你断的是那条线？
4、如果把HUB换为SWITCH会不会也出现PING网关断呢？

如果上面的问题都排除，多半是物理设备出现故障。。。

rfc126

你把你2层的配置贴上来看看

青蛙

原帖由 artico 于 2006-9-1 10:44 发表


1、10.3.6.103、10.3.6.108、10.3.6.61是对137端口通过扫描进行查询请求，而不是1433。你给的数据包就这3个IP较异常，如果没问题可能是设备、线路的问题
2、“是我今天下午抓的，有两个ARP攻击，10.3.6.240，10 ...

240。98是抓包后发现处理的。
10。3。6。37（我用的计算机）通过远程控制10。3。6。13(科来是装在10。3。6。13）这台机子
我在天融信上面看到他连的是1433。
我下午通知这三用户把网线除掉再抓个包看看
网关是10。3。6。1地址在在集团公司

青蛙

原帖由 rfc126 于 2006-9-1 11:13 发表
你把你2层的配置贴上来看看

二层交换机是CISCO4006，由集团光纤接入，4006划为两个VLAN，VLAN中间用天容信防火墙做透明
对内容进行控制，监控。

青蛙

原帖由 artico 于 2006-9-1 10:52 发表



1、不知道你的网关是那个设备？IP为多少？
2、如果PING同子网IP会不会断呢？
3、“我把挂在HUB上的线路断掉”    不明白你断的是那条线？
4、如果把HUB换为SWITCH会不会也出现PING网关断呢？

如果上面的问题 ...

可以肯定的说，你没有仔细看我的说明
网纤接入，网关在集团公司，10。3。6。1
攻击历害的时间同子网的也会断，但大部分时间内网不断，大网偶断，很频繁
把挂在HUB的线路断掉，我是说断掉这一部分用户（因为断网才加的HUB）进行监控的

wwwang

同意articor的方法!
        
1、不知道你的网关是那个设备？IP为多少？
2、如果PING同子网IP会不会断呢？
3、“我把挂在HUB上的线路断掉”    不明白你断的是那条线？
4、如果把HUB换为SWITCH会不会也出现PING网关断呢？

在排除设备与配置的情况下
另外补充一点,分步测试,认真检查有关连的线路与接口,肯定会有答案!(细心加耐心)祝你好运!

青蛙

原帖由 wwwang 于 2006-9-1 13:28 发表
同意articor的方法!
        
1、不知道你的网关是那个设备？IP为多少？
2、如果PING同子网IP会不会断呢？
3、“我把挂在HUB上的线路断掉”    不明白你断的是那条线？
4、如果把HUB换为SWITCH会不会也出现P ...

说了等于白说，我怀疑是网络病毒和木马作怪（难道硬件故障用软件检测不出来吗）

[ 本帖最后由 青蛙 于 2006-9-1 13:39 编辑 ]

青蛙

第三个包是我今天晚上又抓了一个包，无异常情况，还是时不时的丢个包
不过比白天情况要好多了。。
下面是我PING网关的情况

[ 本帖最后由 青蛙 于 2006-9-1 19:59 编辑 ]

artico

1、第三次捕获没有10.3.6.103、10.3.6.108、10.3.6.61，不知道LZ对上面的三个PC查出什么东西没？
2、从你的PING图和第三次捕获数据看看，网络是正常

青蛙

原帖由 artico 于 2006-9-2 11:37 发表
1、第三次捕获没有10.3.6.103、10.3.6.108、10.3.6.61，不知道LZ对上面的三个PC查出什么东西没？
2、从你的PING图和第三次捕获数据看看，网络是正常

没有对三台机子进行任何处理，可能是下班了，都关机了，可是PING的TIME值还是不稳定呀，
偶尔有一个断的呀，十几个PING就要掉一个吧

zmc837

首先在概要视图看出，“物理错误”的数据包没有，所以你的网络物理层是完好的，基本上排除硬件故障引起的网络故障，然后在“802.3错误”出现比较多的“一次冲突”、“多次冲突”，很大可能是网络阻塞引起


对“网络流量”分析发现，广播/组播包流量很多，占总数据包量的36.28%,说明造成这次网络阻塞的是广播风暴引起的。


再对“数据包大小分布”分析，发现<=64的数据包有1024个，占的比例相对来说比较大。


切换到“端点视图”，数据流量比较大的10.3.6.37  和 10.3.6.13　属于正常网络活动，产生的64s的数据包属于用来保持连接的数据包，再进一步观察，发现10.3.6.61\10.3.6.108\10.3.6.103在大量发送广播，查询10.3.7（８）.x:1433因为10.3.6.0/24和10.3.7(8).0/24不在同一个网段内，这些广播包当然也不能传送到10.3.7(8).x主机上，由此可疑判断这三台主机纯粹是为了制造广播风暴，楼主数据包中反映出来的只是这三台主机而已，而且这三台主机的网络行为是一样的，因此可以肯定，你的10.3.6.0/24网段内肯定存在着多台主机中同样的病毒，所以尽管晚上你再次ping 网关是由于其他中毒主机影响，也同样出现掉包现象，建议楼主，继续观察，对和上述三台主机有着同样网络行为的主机隔离杀毒，不知道我的分析对不对，请指正！

[ 本帖最后由 zmc837 于 2006-9-2 23:08 编辑 ]

青蛙

原帖由 zmc837 于 2006-9-2 22:22 发表
首先在概要视图看出，“物理错误”的数据包没有，所以你的网络物理层是完好的，基本上排除硬件故障引起的网络故障，然后在“802.3错误”出现比较多的“一次冲突”、“多次冲突”，很大可能是网络阻塞引起


对“网 ...

你说的很细。谢谢你的关注，我今天忘了抓包，不好意思呀，要不然
放上来就好了，，从那里可以看出来没有物理错误呢，还有你圈的能
稍加注释对我们新人来说应该很有帮助，谢谢

zmc837

建议楼主抓包也上传一份*.cap文件，科来和sniffer等其他协议分析软件是互相补充的，各有千秋，儿*.cap比较通用些

artico

1、我也不确定10.3.6.61\10.3.6.108\10.3.6.103是不是大量发送广播引起的问题，因为LZ没有去排查并给最终确定回复。
2、比较2、3数据包，我只能知道问题跟10.3.6.61\10.3.6.108\10.3.6.103的广播有些关系，因为LZ自己说了网络晚上有好转。出于这个判断，本人觉得  zmc837   的意见很好：
网络中应该还类似行为的IP，毕竟LZ捕获的只是部分数据，所以有毕要继续跟踪并进行隔离。

3、有个小冲突：包括LZ、zmc837 两位怎么看的端口都1433呢，，，我怎么看却是137，希望有其它人能出来证明一下对错

青蛙

原帖由 zmc837 于 2006-9-3 07:03 发表
建议楼主抓包也上传一份*.cap文件，科来和sniffer等其他协议分析软件是互相补充的，各有千秋，儿*.cap比较通用些

cap包已上传，请大家继续关注

zmc837

网络故障排除了吗？建立acl限制135-139的数据包也是一种办法，只是这样主机之间就不能互访了，看情况

青蛙

原帖由 zmc837 于 2006-9-4 09:54 发表
网络故障排除了吗？建立acl限制135-139的数据包也是一种办法，只是这样主机之间就不能互访了，看情况

在天容信防火墙把135　139端口都禁掉？？？？
可是这样防火墙里面的还是可以互防呀

菜青虫

LZ发的发的包好多啊，都不知道看的是哪个包了，呵呵！

个人理解：zmc837说的很有道理啊！

1.  首先，我们要明确在概要视图中的802.3冲突里的内容，这里可以简单说明网络中的是否拥塞！如果我们在网络使用HUB，会经常出现这类冲突的（HUB共享带宽，又遵循以太网CSMA/DA的工作机制）；

2.  查看了几个文件数据包，在里面主机10.3.6.61   10.3.6.103  10.3.6.108这三台主机，发送NBNS广播数据包，而且是大量的哦，从概要视图可以看出，如图1，

而且在数据包视图的概要里面也可以看出，如图2，

[ 本帖最后由 菜青虫 于 2006-9-4 14:40 编辑 ]

青蛙

原帖由 菜青虫 于 2006-9-4 14:38 发表
LZ发的发的包好多啊，都不知道看的是哪个包了，呵呵！

个人理解：zmc837说的很有道理啊！

1.  首先，我们要明确在概要视图中的802.3冲突里的内容，这里可以简单说明网络中的是否拥塞！如果我们在网络使用HUB，会 ...

你的图是怎么截取的呀，
我在108发现了一个木马，是个后门程序，103和61还没有处理，一会我再发个包，让大家看看，可能还有几台机子有病毒