大家帮忙看看我抓的包，为什么吊线？

wmq110

这是掉线时抓的包，路由飞鱼星4500，IP-MAC三绑，掉线时PING路由掉包，PING内网机器正常。201机器上抓的包，253是电影服务器，自动下载电影。200是万象收费机
麻烦大家帮我看看

[ 本帖最后由 wmq110 于 2007-1-30 23:59 编辑 ]

lingyungong79

实在是看不出什么来，连01 00 5E 10 10 11的组播包都不懂，叫斑竹大佬们来帮你分析吧。

菜鸟人飞

首先，你捕获数据包的位置不对，只捕获到了网络中除本机外的广播组播数据，正确的安装请参考 http://www.csna.cn/forum.php?mod ... &extra=page%3D1。

不过虽然你仅仅只抓到了部份数据包，但从数据包来看，基本上可以找到问题所在。

目前网络的现象是：网络中绝大部份的主机，都主动和MAC地址是01:00:5E:10:10:11，IP是224.16.16.17的机器进行大量通讯，且使用UDP 8700端口。
同时我们知道，01:00:5E:10:10:11是组播MAC，224.16.16.17是组播IP，想来影响不该太大。但从数据包的发包频率来看，似乎有点像组播风暴。
目前我不太清楚这些数据包的实际接收主机有哪一些？如果这些数据包都全部被发往了网关，那么网关肯定会疲于应付该类数据包，而无暇顾及其它正常通讯，从而造成网络掉线。

楼主请单独捕获网关的数据包，看下该类数据包是否被转发到了网关，另外请在网关设备处加上策略，拒绝此类通讯。

另外，还有一个可能，目前此类事件都是在网吧频发，有没有可能是网吧安装的还原精灵造成的。楼主顺便查看并分析一下还原精灵的相关设置。

本论坛中有相应的一篇帖子，楼主也可以参一下 http://www.csna.cn/forum.php?mod=viewthread&tid=1860

菜鸟人飞

另外，楼主随便找一台机器，确认一下到底是什么程序在主动发这些数据包？

wmq110

谢谢斑竹
224.16.16.17是路由还是网络还原精灵引起的呢？
麻烦斑竹帮我看下65号机，掉线时我在该机上发现了病毒。内存中很多莫名奇妙的和系统进程类似名字的进程。
我把该机重新启动还原，然后把路由也重新启动，网络就一切正常了

lingyungong79

对，你的65号机有ARP扫描的迹象，同时跟菜版所说的224.16.16.17组播发送UDP包，因为不是很明显且你抓包的时间位置都不是很好所以没看得出来~