为什么网速这么慢`

tony8001

[ 本帖最后由 tony8001 于 2009-2-23 16:14 编辑 ]

oldjiang

抓包来看啊
一般都是因为带宽占用
你上网带宽有几M？ADSL还是光纤？

tony8001

adsl 4M   上网机子30台左右``

oldjiang

那不应该慢
我2M光纤，也是30台机器，没人下载，一点都不慢
你抓下载（包括P2P）啊

[ 本帖最后由 oldjiang 于 2009-2-23 14:20 编辑 ]

tony8001

用sygate  共享上网的。

tony8001

可是我这里，又下载 又看电视``哎``

还私自接了无线路由器``

oldjiang

sygate的设置，参考http://bbs.bitscn.com/forum.php? ... mp;page=1#pid114713
这个帖子里讲到：
Protocol ：协议，可以在下拉列表中选择协议类型（TCP或UDP）。
Port No ：端口号，可以通过禁止端口服务的方法，管制如HTTP、SMTP、POP3、TELNET等服务，AllPort是所有服务禁用。
Start：可以设定生效时间。
--看来可以封端口，比如UDP 1024-65535

[ 本帖最后由 oldjiang 于 2009-2-23 14:29 编辑 ]

oldjiang

私接路由器的，那个mac流量会比较大、会话比较多

tony8001

sygate无法实现这个功能

oldjiang

那换一个支持端口镜像、能限速、带防火墙功能的宽带路由器

tony8001

看下，本机下面有二个MAC地址，另一个是不是私接无线路由器的MAC地址啊？

oldjiang

sygate不是有两个网卡吗

tony8001

分析下工程啊

oldjiang

ip为27的机器在下载mp3
ip为30、31的机器在p2p
这个mac是什么机器的？

oldjiang

00:06:29:50:8B:9B是sygate内网卡地址？
00:A1:B0:07:47:7D是sygate外网看地址？
00:1D:B5:70:37:5A可能是局端地址

oldjiang

sygate+adsl的包比较少见，你这个包不错，收藏了

oldjiang

建议：
做一个下行的单向过滤器，即00:06:29:50:8B:9B到任意地址，参考http://www.csna.cn/forum.php?mod ... amp;page=1#pid59543
网速慢的时候就抓包
节点浏览器，定位在192.168.10.0/24
看端点试图，按流量降序
哪个ip的流量大，就定位他，看协议、会话、HTTP日志，是不是在P2P或者下载
是就制止他

oldjiang

借一个宽带路由器来试试，最简单的家用、soho路由器都有防火墙功能

tony8001

00:06:29:50:8B:9B是sygate内网卡的地址
00:A1:B0:07:47:7D是sygate外网卡的地址

00:1D:B5:70:37:5A这个地址不太清楚,但是我看了下,他的总流量和00:A1:B0:07:47:7D是sygate外网卡的地址流量相同的,

tony8001

ip为27的机器在下载mp3
ip为30、31的机器在p2p

怎么看出来的?

oldjiang

1、节点浏览器，定位在192.168.10.0/24
看端点试图，按流量降序
27是第一个
定位他
协议是HTTP
看日志，请求网址


2、矩阵，30的连接数较多 （p2p特征之一，连接多，流量大）

定位他
协议是UPD-OTHER （p2p特征之二）
看udp会话，流量降序，本地都是一个端口 （p2p特征之三）

你可以到他的机器上看看这个端口对应什么进程
参考http://www.csna.cn/forum.php?mod ... amp;page=1#pid52287