半夜抓的包，请大家分析一下！

mengxt

1、  问题描述
　　半夜睡的正香的时候，电话来了：掉线了。下楼来一看，部份机器上不了网。因为大部分机器都能上网,所以第一反应就用科来抓了一会包（详细情况请下载附件）。
2、  网络拓扑结构
　　因特网—路由器—镜像交换机--主交换机—二级交换机--工作站。
3、  网络关键设备/节点/服务器信息
　　网关　192.168.0.254—00:14:78:30:dc:0d
      NET110，也就是装了科来技术交流版的机器：192.168.1.220--00:13:8f:93:08:7a　　

PS：半睡半醒，有点语无伦次。

[ 本帖最后由 mengxt 于 2006-10-5 05:40 编辑 ]

mengxt

补充一下，我怀疑是MAC地址为：00-07-E9-2A-DE-A2的机器有问题，让它重启了。结果还有一台机器与网外网断开。这台机器的MAC 址为：00-07-E9-2A-EB-18,IP地址是：192.168.0.60。于是用它PING了一下路由器，结果不通。又随便PING了一下内网的其它机器，它又能上网了。初步怀疑是ARP欺骗惹的祸。

[ 本帖最后由 mengxt 于 2006-10-5 05:45 编辑 ]

artico

应该是192.168.0.200对网络资源过度使用或者，路由器无法处理过多数据引起的。从流量对比中看出，该IP在你捕获时间内的流量占总流量的50％上，从协议分析中也看出有BT的连接对话，该用户除了有用BT外，应该还有其它类似的软件，不防查查看。

mengxt

192.168.0.200是我的电影服务器，上海英雄宽频的，一直都是半夜更新。它每天都有七八个G的片子更新。这个时候是最占带宽的时候。我想问的是：一个MAC地址下面的N个IP地址，这个显然是不正常的。能不能分析一下这个问题。

[ 本帖最后由 mengxt 于 2006-10-5 14:55 编辑 ]

artico

原帖由 mengxt 于 2006-10-5 14:52 发表
192.168.0.200是我的电影服务器，上海英雄宽频的，一直都是半夜更新。它每天都有七八个G的片子更新。这个时候是最占带宽的时候。我想问的是：一个MAC地址下面的N个IP地址，这个显然是不正常的。能不能分析一下这个 ...

一个MAC地址下面的N个IP地址 这个不能说就是不正常的，比如通过网关访问的网络，就可以看到网关的MAC一个对很多（外网）IP。所以还是要具体情况具体分析，这也是为什么要大家按照置顶提问格式提问的一个重要原因（192.168.0.200是电影服务器你开始怎么没提出来）。

如果还出现上面的问题，你就把电影服务器关闭看看情况如何。

[ 本帖最后由 artico 于 2006-10-5 15:22 编辑 ]

mengxt

因为网吧刚开张的时候电影服务器就在用了，已经半年了。没有类似情况，而且上海这里网吧几乎都装了这个电影服务器，所以我就没把它写在内。这样的情况在我这里还是第一次出现。
晚上又发现了新的情况，N台机器的IP地址有两个，其中有一个是：0.0.0.0.

[ 本帖最后由 mengxt 于 2006-10-6 00:45 编辑 ]

artico

原帖由 mengxt 于 2006-10-6 00:31 发表
N台机器的IP地址有两个，其中有一个是：0.0.0.0.

不明白什么意思，最好截图指出并放个包上来看看

至于上面提到的问题是不是跟电影服务器有关，本人也只是从你给的数据分析出来的，其它问题本人没仔细看，待高人指点哈。。

lingyungong79

我也不会分析。因为不会，所以才上来说，错了请指教！笑偶也没有什么~
部分电脑不能上网排除硬件外就只能说ARP欺骗问题大了。我也估计是INTEL：2A：DE：A2的机子出了问题。
最先也是怀疑192.168.0.200这台电脑，还以为被潮水攻击了，后来听你解释也清楚了一点，不止这一台，192.168.0.188的数据流量也很大啊。

chenshowq

会不会是ARP啊！！

mengxt

我说的N台机器有两个IP地址的意思是：一台机器有两个IP地址，一个是正常的的IP（我这里是用DHCP来分配IP地址的），另外一个IP的地址是：0.0.0.0.而这两个IP地址同时存在于一台机器上。比如说：一台机器的IP地址是：192.168.1.18(这个地址是由DHCP服务器分配的),而在抓出来的包数据里可以看到，它还有另外一个IP地址，就是0.0.0.0，这个应该是不正常的了吧。

KelvinFu

原帖由 mengxt 于 2006-10-9 22:10 发表
我说的N台机器有两个IP地址的意思是：一台机器有两个IP地址，一个是正常的的IP（我这里是用DHCP来分配IP地址的），另外一个IP的地址是：0.0.0.0.而这两个IP地址同时存在于一台机器上。比如说：一台机器的IP地址是 ...

应为你是使用DHCP动态分配IP，所以当你网络中有电脑启动是，他是没有IP的，这时他的IP为0.0.0.0，他叫会向你的DHCP服务器发起广播，这时你的DHCP服务器会相应，并且给你电脑分配一个地址，这是DHCP协议原理，所以出现0.0.0.0可能是正常的，LZ可以抓图来让大家看看那个0.0.0.0，

关于DHCP协议的工作原理，LZ可以在论坛中搜索下！


从你发的数据包中，没有看到关于ARP的迹象，呵呵！

[ 本帖最后由 KelvinFu 于 2006-10-11 15:57 编辑 ]

mengxt

我这里不是动态分配的IP。所有的保留全是手工做的，IP和MAC地址还做了绑定。

CCSP

原帖由 mengxt 于 2006-10-12 20:22 发表
我这里不是动态分配的IP。所有的保留全是手工做的，IP和MAC地址还做了绑定。

楼主说话矛盾拉！

你在第10楼说你是用DHCP分配IP，怎么现在又说你不是动态分配IP呢！迷惑中！

mengxt

是DHCP分配的，可DHCP的保留项目都是手工抄下网卡的MAC地址然后手工输入的。我这里是BXP无盘，做过这种无盘的人应该都知道这种方法的。好比说：V001的IP地址是：192.168.0.1,网卡的MAC地址是：00-11-22-33-44-55，机器名、IP地址、MAC地址都是在DHCP里做了保留的，不管DHCP服务器运行多长时间，重启多少次，这些都是绝对不变的——除非我改了它。不是DHCP动态分配的.

mengxt

没下文了的说，我的表达能力不好，所以........

danwjg

原帖由 mengxt 于 2006-10-14 03:13 发表
是DHCP分配的，可DHCP的保留项目都是手工抄下网卡的MAC地址然后手工输入的。我这里是BXP无盘，做过这种无盘的人应该都知道这种方法的。好比说：V001的IP地址是：192.168.0.1,网卡的MAC地址是：00-11-22-33-44-55， ...

我是菜鸟哈，我也用过这种无盘，比如锐起之类的就是这种类型，虽然你在无盘中指定了IP地址，但他启动的时候会有一个广播包然后才能得到IP地址的。所以一个结点就会有两个，一个应该为0.0.0.0另一个就是真实IP地址了（如果出现了更多的，就看实际情况了)。这也属于DHCP分配，虽然你在无盘中是指定了一个固定IP。

lingyungong79

还是没说是怎样解决的和原因哦~

hz123

看来是有是那恶的ARP 啊