局域网的幽灵机器

zmnpc

环境：50多台机器的小网吧，20M电信宽带，ARP双绑过了
最近时常掉线卡机，今天下了科来看了下，由于水平有限，也没分析出什么，不发现了个很诡异的事，在矩阵视图中有台机器（192.168.1.31）有很多外网IP连接，数据包也比较异常，可是这时实际上这台机器是关机的，为保险起见，我把网线都拔了，还是一样，求各位老大指点迷经啊，最主要的，我应该如何处理现在的情况。。。。   头发都白了。。。
    另外192.168.1.240是游戏更新服务器+虚拟磁盘服务器，流量大是比较正常的
苦等中.......
附件是保存的工程文件

[ 本帖最后由 zmnpc 于 2009-4-5 01:35 编辑 ]

kingpeng6

下来看看嘛东东。

zmnpc

没人来  自己顶起来，老大们  帮帮忙啊

osx1969

你确定192.168.1.31已拔掉了？我看192.168.1.20有问题。

只是一个神话

31数据包是单向的，只有外网进来，没有从31出去的，而且很多TCP重传数据包都是去31的，所以可能是外部发送到31的正常流量，而31关机了，无法响应，所以外部IP重传数据包。当然，也有可能是外网对31进行了某种攻击，所有发往31的目的端口都是一样的20031,高端口，不是某软件端口就是后门程序的端口，请LZ检查
流量无异常，无明显攻击。
这个数据包是否是出现断网时抓的，如果不是，请在断网时再抓包放上来
如果是，请检查设备，或是网关设备是否受到了来自外网的攻击。

karlpolo

我们这里也有31的问题，好像是病毒

oldjiang

你把那个机器开起来，抓包，看看20031端口是什么进程，参考http://www.csna.cn/forum.php?mod ... amp;page=1#pid52287

wuyouyin2

OUT了吧，“无忧隐藏”是一款保护电脑隐私的软件，能快速隐藏网页、游戏、聊天等窗口,而且能同时能关闭声音。

Martin338110

楼主，可以用排除法，看一下是不是20031端口的蠕虫病毒攻击。在路由器上，过滤掉20031端口的数据包，然后再试一下看网络能不能恢复正常。

kelai520

楼主... 我还没遇到你这样的问题 不过我很怕遇到呢.
      在科来分析系统里 有一个诊断条目 你点了后就会看到是哪一个层出错了
   然后看到后找出目标的地址 然后打开报表 就可以清楚看到是哪里出的问题了
    会有很清楚的显示 你试着去解决一下.. 我能力有限 也只能告诉你到这里了..

kelai520

楼主... 解决好了的话 你也给我发个消息吧..
     好吗  我很想知道你的解决办法
   我会时刻关注你的问题 给你想办法奥.