如何发现网内的DDOS攻击源

ldaln

我刚接手的网吧有四百多台机器，一直以来都有个现象，经常（不是每天）一过中午12：30就开始掉线到下午5：30左右开始转好，因为这种情况流失了很多客户，
   当时的具体情况如下：，掉线时内网网关PING值最高达到4000以上，一般在700-800左右，DNS值也相应升高，客户机大面积掉线。网内已全部实现ARP双绑，基本可以排除ARP攻击（而且今天ARP值也很高，却没有掉，PING值很正常），所以怀疑是有人故意进行DDOS攻击。
   我想请教一下在科来中如何判断DDOS攻击，是内网的还是外网的，能不能查到攻击源？？？

另：因为今天网络正常，所以没有抓包，改日补上！！先请教问题。

hopehands

抓包。。。这个说法没有搞的

ls1041

可否说的具体一点，至少也要有些抓包的情况啊。

cwym29

楼主仅仅根据这个就怀疑是DDOS，是否有点武断？
掉包的时候，有登陆到网络交换设备上查扯吗？另外请在掉线的时候抓个包发上来看看？

hopehands

这个问题只是说是没法说清楚的，还是要你的抓包。。不然是没法找到详细解决的方法的

hz123

这个有很多的啊 如果你的下面电脑中毒了 也会这样的啊

roxhaiy

网吧机器木马，病毒不少，先把这个排除了再说

sivalei

先上拓扑图

再看你400台机器如何划分的vlan

再看是否有广播风暴，排除其他病毒

再镜像上联路由器口 抓包，你网吧因该作了镜像吧，否则公安局可不答应

如果路由器有连接建立应该有nat表项可以查看

所以抓包肯定能找到具体哪台机器ddos的