网络故障(上传了数据包,帮忙分析下)

gscy · 发表于 2007-1-16 11:16:22

这几天公司网络出现故障，网络极其不稳定，有时候几小时断一次，有时候十多分钟内就断好几次。断线时间为几秒至几十秒不等。断了后PING网关和网内其他电脑都能PING通，但防火墙和路由器地址却不通（不知道是否碰巧，每次断线后我PING下网关，网络马上恢复，但偶尔却也不行）。我一开始以为是ARP，但用科来分析并没有诊断出有ARP。唉~~~各位大哥大姐救命啊。

[ 本帖最后由 gscy 于 2007-1-17 14:46 编辑 ]

cscz · 发表于 2007-1-16 11:18:55

你用科来看看和你的网关有哪些电脑连接着。

gscy · 发表于 2007-1-16 11:35:38

还有一点就是**.**.**.255这个广播地址数据很异常。

[ 本帖最后由 gscy 于 2007-1-16 12:14 编辑 ]

gscy · 发表于 2007-1-16 14:22:18

没人知道么?

:'( :'( :'( :'( :'( :'( :'( :'(

KelvinFu · 发表于 2007-1-16 16:18:13

10.39.126.255这个地址应该是你网络中的子网广播地址，不能看出来什么问题啊！

你可以将你的数据包文件发上来啊！

viviviva · 发表于 2007-1-16 16:31:00

对,别把255的发上来,这个看来出什么问题滴!

gscy · 发表于 2007-1-16 17:38:15

数据包.......谢谢了

gscy · 发表于 2007-1-17 08:09:01

一天了.....还没人知道有没问题么??

viviviva · 发表于 2007-1-17 08:18:13

只抓了广播包?!!!!!!

KelvinFu · 发表于 2007-1-17 09:14:20

原帖由 gscy 于 2007-1-16 17:38 发表
数据包.......谢谢了

LZ应该是软件的安装部署位置不正确，只捕获到了本机通讯的数据包以及网络中的广播数据包，请查看网络分析软件安装部署。

gscy · 发表于 2007-1-17 09:20:14

包包包.......

viviviva · 发表于 2007-1-17 09:26:59

GSCY,你要是把科来布置在交换机的镜像口上那就好了,想想法子!

gscy · 发表于 2007-1-17 14:02:23

做了镜像后抓的数据包~

gscy · 发表于 2007-1-17 14:22:01

情况一：用arp --a指令查询，当网关的MAC地址为00-12-43-12-4f-61时网络正常，网关的MAC地址变为00-14-78-d0-64-38时网络中断。

情况二：当网络中断后，PING下网关IP地址，网络恢复正常，MAC地址由00-14-78-d0-64-38变回网络正常时的00-12-43-12-4f-61。

情况三：用科来诊断发现存在ARP，但是清除ARP源后问题依旧存在。

我已经把清除ARP前后的数据包上传了，求各位高手帮忙分析下问题出在哪里吧~~先谢谢大家了~~

[ 本帖最后由 gscy 于 2007-1-17 14:23 编辑 ]

lingyungong79 · 发表于 2007-1-17 17:20:25

大嘴回来了啥~居然还没慢哈~

刚才打开文件时把科来给搞坏了，重新安装又过期了，郁闷啊，才激活！
奇怪，怎么清除了ARP之后就少了00 10 5C BC 0F 97和00 E0 4C 77 98 5F这两台了呢？难道这两台是伪造的？那你是怎么去查找这两台的呢？

lingyungong79 · 发表于 2007-1-17 17:25:29

根据你的思路，难道是00 15 C5 54 6E C2伪造了00-14-78-d0-64-38，然后发数据包欺骗其他电脑说自己是网关？

[ 本帖最后由 lingyungong79 于 2007-1-18 10:21 编辑 ]

lingyungong79 · 发表于 2007-1-17 17:31:40

下班了，其实以上四台偶都没找得到，郁闷~

gscy · 发表于 2007-1-17 18:36:24

这两台我都采取的是直接拔网线、物理隔绝。以后再慢慢处理这两台电脑。。可是结果却“涛声依旧”啊~~~

lingyungong79 · 发表于 2007-1-18 09:18:27

回答错误了！回答错误了！回答错误了！

[ 本帖最后由 lingyungong79 于 2007-1-18 10:11 编辑 ]

lingyungong79 · 发表于 2007-1-18 10:10:09

不知道是怎么回事，反正这个B类IP125.125.125.127有点问题，断开00-14-78-d0-64-38试一试不就知道了？

KelvinFu · 发表于 2007-1-18 10:25:36

在第一个文件（清除ARP前）中，发现MAC地址为00:E0:4C:77:98:5F（IP：10.39.162.253）的主机在扫描10.39.162.0这个网段，并且进行ARP欺骗网关！

在第二个文件（清除ARP之后）中，发现MAC地址00:14:78

0:64:38也在进行欺骗，冒充自己是网关。

我们可以来看看第二文件中的一个抓图：

从图中，我们可以看到，00:14:78

0:64:38这个地址冒充了网关，与00:15:C5:54:6E:C2（10.39.162.4）进行通讯，结果造成主机1.39.162.4会断网！

LZ可以检查这2个地址是否是网内的真实地址，如果是真实的，则找到具体主机隔离查杀！
如果是伪造地址，则在查找上有点麻烦，需要借助分路器，进行单向数据流的捕获，并一步一步的分析查找！

[ 本帖最后由 KelvinFu 于 2007-1-18 10:40 编辑 ]

gscy · 发表于 2007-1-18 11:09:17

唉~~我也一直都知道00-14-78-d0-64-38这个MAC地址有问题~~可是不管怎么搜索都查不到这个MAC地址是哪台主机的~~难道是假MAC?有伪装?

lingyungong79 · 发表于 2007-1-18 14:27:47

划分了VLAN的吧？
00 11 43 15 A7 5E/125.125.125.127查这个，看一下有什么情况没有？
顺带把00 E0 4C C0 BA 8A/125.125.125.129，10.39.162.99查一下~

网络故障(上传了数据包,帮忙分析下)

本帖子中包含更多资源

包包包

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

回答错误！

回答错误了！

本帖子中包含更多资源