求求大家帮我分析分析网络 救命啊

senlinhai

求求大家帮我分析分析网络
我是网吧用户  我的网络出现严重问题 PING网关延迟大 而且客户机掉线

谢谢  等待回复

工程文件：
      http://www.zpgo.net/pweb10/senlin/gongc.rar

     http://www.zpgo.net/pweb10/senlin/gongc.rar

[ 本帖最后由 senlinhai 于 2006-11-1 07:25 编辑 ]

dtzqxx

从你的抓包来看应该是58.61.148.189对你的网络进行攻击，给地址和你网络中的计算机建立了大量没有用的ＨＴＴＰ连接（大量的６４包）使得资源耗尽，影响正常上网！＠建议在出口路由器上禁止与58.61.148.189的通信,然后在查看一下效果!

[ 本帖最后由 dtzqxx 于 2006-10-31 15:40 编辑 ]

senlinhai

我是网吧光纤用户，没有路由器，请问我应该封多少端口可以避免？

[ 本帖最后由 senlinhai 于 2006-10-31 15:59 编辑 ]

senlinhai

自己顶，请问我应该把每一台电脑的什么端口封掉啊？

dtzqxx

目前情况看你只要把那个IP禁止访问你的网络就可以了不需要封端口 ,然后看一下效果并抓包分析

今晚打老虎

刚才用lz 的包搞了一个截图，但是太多，截图不全面。



图片一压缩，效果就差多了

[ 本帖最后由 今晚打老虎 于 2006-10-31 17:10 编辑 ]

红盟过客

你没有路由器，那你有几台电脑上网，及上网的方式是怎么样了，不可能没有路由吧，有没有软路由与代理了。
先说一下，你的网络环境了。

senlinhai

我的网络环境是 光纤接入，再接到交换机，  我现有40台客户机 ，每一个客户机有网通分配的固定IP IP是10.8.70.1到10.8.70.63    10.8.70.63可能是广播   
我刚刚又发现矩阵里都连接58.61.148.189  请问我每一台客户机应该怎么处理啊？？

senlinhai

自己顶  类似这种情况我应该封多少端口啊？

天蓝

原帖由 senlinhai 于 2006-10-31 20:59 发表
自己顶  类似这种情况我应该封多少端口啊？

这种情况，应该使用防火墙来封那个有问题的外网IP呀，

现在很多路由器也支持防火墙功能，把有问题的IP封掉就可以了。

ghostorc

请定位　MAC地址　00 E0 4C F9 5C C7，这台有问题？

从提供的工程文件可看出，在该MAC地址上对应57247个IP地址！而这几万个（虚拟？）IP地址(同一个MAC地址)却在不停的向58.61.148.189：80发起大小为64的SYN包！是攻击吗？怀疑中！若是攻击的话，那么58这个IP才是被攻击的对象！

不知道说得对否，请高人不要见笑！

[ 本帖最后由 ghostorc 于 2006-11-1 10:46 编辑 ]

toto_hu

楼上的说得有理，攻击源应该在内网中

senlinhai

该如何解决这种现象呢？ 这些天这种现象频繁出现 我都快疯掉了 求求大家帮帮忙 想想办法 小弟在这里不胜感激！

senlinhai

该如何解决这种现象呢？ 这些天这种现象频繁出现 我都快疯掉了 求求大家帮帮忙 想想办法 小弟在这里不胜感激！

dtzqxx

如果你是这种网络环境的话,你可以在光纤的入口上(交换机)上使用访问控制列表来控制到58.61.148.189的连接,从而控制了他们之间的访问,然后在看效果抓包分析

lingyungong79

ARP攻击吧！打不开你的工程文件！偶的内存才128M，唉，破电脑破公司啊！
基本上大部分的数据包都是64字节的，所以估计应该是ARP攻击吧！

KelvinFu

个人认为应该存在攻击，这个MAC地址：00:E0:4C:F9:5C:C7 (1000)，是你的网关吗？

也可能是内部主机中了病毒，病毒伪造出很多地址来与外网的某个IP（或者也是虚拟的IP）建立大量的间接，来消耗你网络设备的资源！

从而导致你网络延迟或断线！数据包都是小于64byte，碎片攻击！

senlinhai

MAC地址：00:E0:4C:F9:5C:C7   这个是计费机  杀毒没有发现病毒 啊  安装了防火墙

artico

00:E0:4C:F9:5C:C7如果是收费主机的话，请问LZ网关的MAC是那个？
提问请参考下面连接

[ 本帖最后由 artico 于 2006-11-1 15:48 编辑 ]

senseth

顶，我下载20多分钟还没下完，不看了

senlinhai

问题标题：最近网络有时候严重慢，请个位高手帮忙解决，谢谢！


1、  问题描述：   最近网络有时出奇的慢，PING网关延迟非常严重，而且还严重掉包，客户机基本上都玩不了游戏了，有时候还能自动好了，请问个位前辈这是什么问题怎么解决？


2、  网络拓扑结构

         

3、  列出网络中关键设备/节点/服务器的名称、IP、MAC
      
     网关： 10.8.70.1   00:05:9A:798:09
    计费机： 10.8.70.59   00:E0:4C:F9:5C:C7
    网络IP为   10.8.70.2  ------ 10.8.70.41

4、  使用的分析软件，及分析软件的安装位置，并将捕获的数据包上传到论坛
      
    软件安装在计费机上也就是    10.8.70.59   00:E0:4C:F9:5C:C7


5、  发帖者及时跟进回贴
     我现在正在紧紧跟进回帖啊 ，请请辈帮忙啊！

senlinhai

自己顶，等待有人帮我解决

artico

你的数据包太大了，偶的CPU处理不过，老是没反应。。只好放弃。

senlinhai

遇到攻击了 所以数据包庞大  我也没有办法啊 恳请各位帮帮忙啊

KelvinFu

LZ试过断掉00:E0:4C:F9:5C:C7的主机没有！

huamao2006

请问分析软件安装在哪个位置的哦，上图中没有标注啊。

huamao2006

大哥，仔细检查一下计费机哈，肯定是它在作怪，从你上传的工程文件来看，是计费机一直在向你的Cisco交换机发送SYN数据包，发送的源IP、源端口随机变动，目标IP和端口固定（IP：58.61.148.189、Port：80），特征是HTTP－SYN，不用说了。你没有杀掉病毒可能是你的杀毒软件用的不对，或者是病毒库没有升级到最新。