25M光纤，内网极不稳定，请帮我分析一下。

lubovip

请朋友们帮我看一下，我真的没法了，也是第一次来论坛发贴，以前只看。前几天我们网吧中了维金，我现在都从新做了系统，
把server服务也关了。还在每台机上装了诺顿。但是辛辛苦苦做了几个通宵加白天后问题依然没有解决，我是25M光纤。开始三百多台电脑同时上，每台测了也在15M以上。现在都还有时才1M左右。。给各位大哥大姐跪下了。。

lubovip

请各位帮我看看。。我还不太熟悉科来分析系统

lubovip

如果有空，请帮我一下，感激不尽啊。。我的QQ：250586。谢谢！谢谢！

天蓝

LZ 不要说得那么悲惨，问题是可以解决的，首先捕获的2分钟数据包，应该是没有做端口镜像，从下面的图可以看得出来，只有本机的大量数据和广播的线条。

如果中了维金病毒（winsmd.exe），应该还是非常容易看得出来的，并不难解决。中了winsmd.exe，则主机会发起大量的ARP数据包，导致其它主机产生无请求应答。
可以参见：

中了winsmd.exe机器症状：
    1.进程中多一个vktserv.exe的进程，可能也有winsmd.exe。
    2.C:\WINDOWS\system32下有winsmd.exe，vktserv.exe
    3.启动项中有winsmd.exe（msconfig)
    4.系统服务中多了个vktserv

建议解决办法：
    1.结束winsmd.exe，删除C:\WINDOWS\system32下winsmd.exe
    2.结束vktserv.exe，删除C:\WINDOWS\system32下vktserv.exe
    3.去掉启动项的勾
    4.停止vktserv服务。
更多的内容，可以参见：
http://www.csna.cn/forum.php?mod ... &extra=page%3D3

ess8888

192.168.2.146那台可能有问题 其他包都不发就光发了那么多APR包.还有192.168.2.127那台也是,其他还要注意的是192.168.1.51,192.168.2.25

lubovip

原帖由 lubovip 于 2006-11-4 21:34 发表
如果有空，请帮我一下，感激不尽啊。。我的QQ：250586。谢谢！谢谢！

下面如果有一台机开个劲舞外挂，我这里就明显的感觉到了以上的流量很大了。

lubovip

原帖由 lubovip 于 2006-11-7 13:49 发表

下面如果有一台机开个劲舞外挂，我这里就明显的感觉到了以上的流量很大了。

还有TCP也大的很。。。。。

lingyungong79

大水牛

分析专家




UID 2
精华 0
积分 6
帖子 25
威望 6
金钱 612
阅读权限 50
注册 2006-4-11
状态 离线   
192.168.1.156 这台机器有问题，在不断给 219.153.45.230(重庆的IP)发送大量内容只为"K"的数据包,应该是一种flood攻击行为. 如果你的路由器性能不好的话,面对这样的flood攻击自然会丢包, 丢的包中有正常通迅的数据包,这样其它机器上网就会受到干扰,掉线.

可先断掉"192.168.1.156 "这台机器的网络连接,保证其它机器能够正常上网,再检查这台机器为什么会发这样的数据包,看是否中了木马或病毒.

打开科来,切换到"会话"视图 -> UDP -> "数据"窗口查看详情,你会发现有大量的UDP会话都是同一个IP发起的.

Endpoint1: IP Address = 192.168.1.156, UDP Port = 1157
Endpoint2: IP Address = 219.153.45.230, UDP Port = 7000

KKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKKK........

2006-9-25 15:04 #3
              
  
alexks

初来乍到




UID 4762
精华 0
积分 0
帖子 14
威望 0
金钱 305
阅读权限 10
注册 2006-9-16
状态 离线  确实中了病毒，上次我这边也有这现象，故障机表现为连接了N多外网IP的7000端口，利用率达到98%

由于太过紧张。。。所以也就直接把那台机关了，忘记查是什么原因了，只知道出现故障的机在桌面会生成一个BAT文件，而主程序是在系统的TEMP里。

请知道详细情况的大大们来上上课。

2006-9-25 15:33 #4
            
  
allmoxie

初来乍到




UID 4845
精华 0
积分 0
帖子 19
威望 0
金钱 330
阅读权限 10
注册 2006-9-18
状态 离线  


QUOTE:
原帖由 wwwang 于 2006-9-25 14:08 发表
提问格式请看http://www.csna.cn/forum.php?mod ... &extra=page%3D1
看了你的数据包不完整,发完整的过来
把有故障的客户机断开情况会怎样呢?
谢谢你帮忙！！
完整文件已经上传好了。
故障机断开的话，网络马上就恢复正常了！
现在已经发现三台机器是这样了！万一会传染的话。。。想想就怕！
跟“alexks”说的一样，太紧张了。 马上就断开了！
事后用诺顿10升到最新盘，其中一台杀出四种病毒：TrojanHorse  Backdoor.Trojan  Adware.zhong  Downloader
还有一台，却只杀出一个：Hacktool.PWS.QQpass.
而且，故障机好象是不定时发作的。让人头大！请再帮我分析一下

lingyungong79

查了一下，利用端口7000的UDP包大部分为KUGOO，传奇私服等，要不你再等大大们来帮你研究一下了！

菜鸟人飞

原帖由 lingyungong79 于 2006-11-8 09:02 发表
大水牛

分析专家




UID 2
精华 0
积分 6
帖子 25
威望 6
金钱 612
阅读权限 50
注册 2006-4-11
状态 离线   
192.168.1.156 这台机器有问题，在不断给 219.153.45.230(重庆的IP)发送大量内 ...

兄弟啥意思？

wqwang

俺觉得(REALTEK SEMI:09:EB:7D--->192.168.2.146) 和(BPLAN:0A:0B:95-->192.168.1.51)这两个物理地址有问题,大密度地发REQUEST包(657个和122个).

lingyungong79

原帖由 菜鸟人飞 于 2006-11-8 09:13 发表

兄弟啥意思？

不是，偶估计楼主的故障跟以前一个论坛上的帖子有相同或是思路相同的地方，所以引用了一下~

lubovip

原帖由 lingyungong79 于 2006-11-8 15:46 发表

不是，偶估计楼主的故障跟以前一个论坛上的帖子有相同或是思路相同的地方，所以引用了一下~

请专家帮帮忙，不要让我死不冥目啊？？？？再附上刚刚的数据。

lingyungong79

其实偶也不懂啊！最近看各种协议都快看昏头了，到现在还分析计算不了IP等数据包~
偶是一点都不懂的，你问一下菜鸟人飞大哥吧。
不过偶估计你是因为用传奇私服等中木马了吧，你下载一个木马克星升级后杀一下呢，你的工程数据包偶不会看也不会分析D，现在正在努力地学呢！

红盟过客

原帖由 lubovip 于 2006-11-4 21:29 发表
请朋友们帮我看一下，我真的没法了，也是第一次来论坛发贴，以前只看。前几天我们网吧中了维金，我现在都从新做了系统，
把server服务也关了。还在每台机上装了诺顿。但是辛辛苦苦做了几个通宵加白天后问题依 ...

你不会网刻啊，三百台，四小时就搞定了，
还有你25兆下载速度会有15吗，一百兆才只有12.5了，奇怪了，我换算了一下，你应在3m左右就是正常的了。这是常认问题啊，中间有八倍的换算啊。

红盟过客

你查一下，150这台，这台停了，

hz123

认真学习这个软件对你有莫大的帮助的啊

zealotcc

问题在 150上,建议楼主去弄清楚是在玩游戏还是在下酷狗

hopehands

呵呵。。。看了，25兆速度是3m左右。。。你还是看看150那台

yyc520

.150的那台机子在在线视频等吧，消耗大量宽带而已

ipower

路由上面没有做QOS么？

ipower

顺便提一句做网络克隆啊