网段内网关掉包严重 怎么解决?

芋头虫

我们网段有100台左右计算机,3台交换机;
交换机型号:两台1024;一台24的,
开3台交换机的时候,网关掉包严重,一般 loss 70-90%;

关了2台 1024以后,一般10分钟的样子,网络运行正常,但是开启2台1024之后,
网络仍然出现上述问题,请大家帮忙解释哈子可能是什么原因呢?
应该怎么解决啊?

如果是DDOS 或者是交换机的问题的话?应该如何解释?

[ 本帖最后由 芋头虫 于 2006-6-14 16:07 编辑 ]

不归

谢谢各位关心，附上sniffer的抓包结果，数据包总共才2600个。
125.220.95.2为楼主的机子。跟她连的是我的机子（202.197.144.144）。

广播包所占比例过大。1000/2600，比较恐怖。
mac层基本都是同一个arp广播包。包的内容也似乎不正常(0010dc387171  0.136.136.16  to  ffffffffffff   1.136.136.16)。
ip层是wins包和browser包,是子网广播（125.220.95.255），占总包的8.6%(总包数)，16.5%（在数据包[怎么翻译的嘛]）。就是除了楼主的机子外最大的一个了。

专家模式结果：
125.220.95.6 ,00115bfd052a有一个browser election force（SMB协议的）（强迫挑出微软网的在线电脑列表服务器 ）它跑到172.16.1.255去寻找了

125.220.95.7，464d5434780b4c6有一个网络层的Time-to-live expiring告警（该IP占总包的7%(总包数)，7.6%（在数据包），仅次于上面的广播，发的wins和browser包到125.220.95.255[广播地址]，)（当网络中的数据包的TTL值减到1时，Sniffer专家系统会产生该告警，IP包的TTL值减到1后将会被路由器丢掉，正常传输的一般IP包的TTL值在传输过程中是不会减到被路由器丢掉的地步的， 一般情况下，TTL值减到1时说明你本地的网络中可能存在路由问题，导致IP包在路由器间不断转发一直到TTL值降到1。不过有些包除外，主要是有些路由组播包（初始TTL值为1，不扩散）或有些P2P应用将初始TTL值设低避免跳数过多的数据传输。出现该告警后应检查这些数据包的目的地址路由在路由器中的配置。）难道有环路？


具体的大家看一下。

楼下的想到的一些原因和办法我也想到了。但是我没法实施。

芋头要努力啊。先去看看95.6和95.7再说。

[ 本帖最后由 不归 于 2006-6-15 03:22 编辑 ]

菜鸟人飞

网络负载过大吧，引发的原因分析前未知。

楼主的网络拓扑是怎样的，这三台交换机是怎样的连接关系？
另外，出现该故障时，交换机的ARP正常吗？
故障出现时，抓过数据包吗？

请楼主提供上述信息。


在网络故障分析时，如果不能得到相应的网络信息，问题的排查会变得相对困难。当然，如果啥信息也得不到，那“不归”兄说的也很有道理。

flamen

请把问题说清楚点，谢谢！

芋头虫

楼主的网络拓扑是怎样的，
星型；
这三台交换机是怎样的连接关系,
级联；
另外，出现该故障时，交换机的ARP正常吗？
呵呵，指导哈子 ARP怎么看？ arp -a 这个么，如果是的话，可以。
故障出现时，抓过数据包吗？
抓过,看8懂啊~ 有机会 我下次传上来    呵呵~  先谢过斑竹啦~

菜鸟人飞

网络拓扑，希望得到的是网络的拓扑图，即主机，交换机，路由器等的物理连接方式。
交换机的ARP信息，不同交换机的命令不一样，请查看，如果可以，建议将ARP的信息列出来。
将抓到的数据包传上来吧，这样便于分析。

jiesen

1、检查是不是网络形成环了；2、检查是不是有个别机器的网卡坏了（两台1024下的机器）；3、检查交换机的状态指示灯是否正常；

不归

多划分几个vlan吧。。。。。

芋头虫

呵呵~谢谢大家了!
恩啊,我继续努力~

libin125_0

楼主提供的数据包在下仔细看过了，发现在ARP方面应该存在欺骗情况，具体情况如图。

libin125_0

然后关键一点来了。
00:00:00:00:00:00向00:E0:4C:F9:7B:63发了一个包（唯一正确的包）告诉它网关125.220.95.1 在 00:05:3B:81:48:C0 我想，这个才是真正的网关地址。
不过我们马上看到虚假的网关地址00:10C:38:71:70马上给00:E0:4C:F9:7B:63发包，说网关125.220.95.1 在 00:10C:38:71:70，这样就实现了对00:E0:4C:F9:7B:63的欺骗，导致00:E0:4C:F9:7B:63所有对外的数据包都会先发给虚假的网关…………

libin125_0

后面还有一个网关发的广播包，这个应该是外网的数据进来后，网关查找相应的地址。由于ARP表已经被修改，它找不到具体的机器，而机器也没有回应。
从这里看出来，只是存在ARP欺骗，但是虚假的网关并没有将数据包转发给响应的地址，所以连接出现问题，数据包自动丢包。如果虚假网关将数据包转发的话，就会形成数据监听，所有游戏帐号信息都会通过虚假网关转发，盗号~~~~~~~~~个人觉得是病毒，不是人为的攻击，数据包有限，不知道转发了数据包没有，水平也有限也不知道问题正确否，请多多指教！

libin125_0

刚才最后的图没有弄好，重发一张

芋头虫

我用snif抓的包6月15号的

芋头虫

我用snif抓的包6月14号的

芋头虫

之前抓的一些,不知道什么乱七八糟的东西.......
呵呵~

芋头虫

原帖由 jiesen 于 2006-6-14 17:07 发表
1、检查是不是网络形成环了；2、检查是不是有个别机器的网卡坏了（两台1024下的机器）；3、检查交换机的状态指示灯是否正常；

检查是不是网络形成环了,偶也怀疑~~~ 不过拔了还是没用.
检查交换机的状态指示灯是否正常,呵呵~指点哈子,交换机的灯应该怎么样的,最好给我个详细的资料,
先谢谢啦!!!

libin125_0

汗~~~~~~~
不会用sniffer，发的包只看到几个外网地址访问情况~~~~~~~
帮不上忙了，等待高人指点~

菜青虫

原帖由 芋头虫 于 2006-6-16 10:46 发表
之前抓的一些,不知道什么乱七八糟的东西.......
呵呵~

lZ发的前两个包，应该是正常的吧，
6.14号的很多都是QQ登陆的信息
6.15号的基本上是netbios解析主机名的数据包
（LZ在两个日期中发的数据包中，名字虽然改变了，但是内容上都是一样）

在LZ的发的最后一个包中 ，可能存在ARP扫描

网络中有很多是00:10C:38:71:70发起的ARP应答广播包，广播包过多，在三台交换机中进行泛滥也会对网络有很大的影响。

能力有限暂时只能说到这些：）

芋头虫

呵呵~谢谢大家了
关于sniffer，我们还要继续学习
今天专业网管老师来检查了网络，结果啊 郁闷的 也是高兴的
环路问题，路由设置问题。但是详细原因还有带研究

芋头虫

非常感谢19楼的虫虫
我们是一家啊！ 呵呵~~~

fpb99999

喜欢啊，学习咯

jxj0918

说的我晕忽晕忽的..不懂..先保存下来吧...慢慢再看.