近一个月网吧老是频繁掉线!

qingxia3 · 发表于 2007-5-13 01:38:22

近一个月网吧老是频繁掉线，今天抓的包，希望能帮助分析下，是不是因为病毒引起的，万分感谢！！！

一个半月来频繁定时段掉线，每天的晚上20点-零辰3点多不定时掉线，白天从不掉线。平时PING路由网关1毫秒，掉线时PING20-100多毫秒，拔掉外网线马上恢复一毫秒,路由两条线,一条接PC,一条接主交换,但拔掉内网,PING值还是那么高不下,也检查了外网攻击,DOS防御很高,但都没有任何发现<我们动态IP,每次连网的IP地址都不一样,攻击也不可能来的那么快>
路由器换了三台，交换机换了两台<都做的有散热工作>，全部机系统重换了N遍<全系统补丁>，网线水晶头都检查了，ARP双绑定，但还是不能解决！`

电信是光纤收发器出来线到交换机，全部网吧从这台交换机出来线到网吧<像小区共享宽带一样虚拟ADSL拔号上网>我重新做了水晶头和换插了电信交换机端口<他们没做端口限制和限速>,我们网吧都是从那台交换机出来的线,但他们都不掉,只有我们一家掉``内网实在找不出来原因了,我现在怀疑是不是有病毒引起的掉线,望能帮助分析下，万分感谢！！！

xuefu · 发表于 2007-5-13 09:36:13

首先检查一下192.168.1.61，断开该机后看看。你们的网关应该启用防火墙功能啊

qingxia333 · 发表于 2007-5-13 12:31:30

192.168.1.61检查了，因为是前面做的系统，没有发现什么疑常。
曾前面拔掉这个段的交换机，但还是会一样的断开。

qingxia333 · 发表于 2007-5-13 12:37:46

启动了路由的防火墙功能了，SYN，UDP，ICMP
ICMP单一IP的封包阈值100，但没有发现受阻的IP，这样行吗？

qingxia333 · 发表于 2007-5-13 13:21:01

我抓的还有个包，大家再帮我分析一下好吗？太感谢了！！！

zealotcc · 发表于 2007-5-13 15:43:00

192.168.1.1是否是网关？晚上掉线的时候是不是有大流量的服务？比如电影服务器更新
包上面大部分都是udp　都是一些qq视频　劲舞团之类的流量，有没有掉线时候的包啊
下次抓包别抓那么多了

qingxia333 · 发表于 2007-5-14 15:57:25

192.168.1.1是路由网关，192。168。1。251是我虚拟磁盘游戏服务器，全部网络游戏和部分单机游戏都放在服务器上，上面抓那些包都是掉线时候抓的包，有什么疑常吗？

[ 本帖最后由 qingxia333 于 2007-5-14 15:58 编辑 ]

zealotcc · 发表于 2007-5-14 20:44:28

无法确定什么,1.45这台机子会话非常多,留意一下掉线时候网络里大家主要在做什么
另外楼主怎么抓的包?

离开我 · 发表于 2007-5-14 21:42:38

家里也一样

zealotcc · 发表于 2007-5-15 12:52:02

那就从最后底层的用户往上检查，找出哪一部分出了问题，白天不掉晚上掉实在很蹊跷

wqwang · 发表于 2007-5-15 15:43:13

你换了设备,但是有没有把电源一起换掉? 可以试一试换个电源. 另外再测一测电压, 也有可能是电压不稳定造成的.

qingxia333 · 发表于 2007-5-18 15:15:12

掉线时检查了全部机器，没有什么可疑进程，查看网络流量，也没有发现机器大量发包
我昨天又全部重新换了系统，360打的全系统补丁，路由只带我这一台机重做的，完全干净系统，全部手工优化，需要的几个软件都是直接从官网站下载的，做完后装最新正版瑞星杀没毒才做的镜像包，昨天下午一直正常，到晚上11点多才出现这样`你们觉得会是系统有问题吗？

ipower · 发表于 2007-5-18 16:58:03

固定 ip上网还是怎么上? 建议用台PC 加瑞星的防火墙单独挂在上面看看

估计是被别人攻击了.

qingxia3 · 发表于 2007-5-19 12:08:11

我是虚拟动态IP，被别人攻击`最早都想过，但掉线太频繁太快，10分钟换五个IP了，还一样掉，感觉也不大可能！
我现在用的MONO软路由，防火墙不断拦到这样的包，我跟本没有这个IP段的，我想了很久，问题肯定出在这里`但不知道这个IP段是干什么用`出自哪里，出在设备上还是客户机系统，大家有没有见过这个IP段，希望大家再分析下我抓的那些包，看能否看到这个IP段是怎么形成的`出自哪里！`万分感谢！

  03:55:59.919883 rl0 0.0.0.0, port 5678 255.255.255.255, port 5678 UDP
  03:55:19.932752 rl0 192.168.86.92, port 138 192.168.86.255, port 138 UDP
  03:54:59.897362 rl0 0.0.0.0, port 5678 255.255.255.255, port 5678 UDP
  03:54:56.398038 rl0 192.168.86.89, port 138 192.168.86.255, port 138 UDP
  03:53:59.874512 rl0 0.0.0.0, port 5678 255.255.255.255, port 5678 UDP
  03:52:59.851750 rl0 0.0.0.0, port 5678 255.255.255.255, port 5678 UDP
  03:52:14.775001 rl0 192.168.86.81, port 138 192.168.86.255, port 138 UDP
  03:51:59.829043 rl0 0.0.0.0, port 5678 255.255.255.255, port 5678 UDP
  03:51:14.993145 rl0 192.168.86.89, port 138 192.168.86.255, port 138 UDP
  03:50:59.806345 rl0 0.0.0.0, port 5678 255.255.255.255, port 5678 UDP
  03:50:04.659709 rl0 192.168.86.92, port 137 192.168.86.255, port 137 UDP
  03:49:59.783622 rl0 0.0.0.0, port 5678 255.255.255.255, port 5678 UDP
  03:48:59.760911 rl0 0.0.0.0, port 5678 255.255.255.255, port 5678 UDP
  03:48:23.167919 rl0 192.168.86.92, port 137 192.168.86.255, port 137 UDP
  03:48:22.417741 rl0 192.168.86.92, port 137 192.168.86.255, port 137 UDP
  03:48:21.674081 rl0 192.168.86.92, port 137 192.168.86.255, port 137 UDP
  03:47:59.738234 rl0 0.0.0.0, port 5678 255.255.255.255, port 5678 UDP

zealotcc · 发表于 2007-5-19 19:50:22

可能是这种软路由的一种协议，有没有具体的包，不排除伪造攻击的可能

qingxia3 · 发表于 2007-5-21 10:38:47

救助大家，帮帮我好吗`？万分感谢！
请大家分析下原因出在内网还是外网，是攻击还是其它什么原因呢？

qingxia3 · 发表于 2007-5-21 10:55:27

我10M带宽，软路由设置带宽上行10M，下行10M。
这两天我发现，正常时WAN口流量怎么都超不过10M，这两天晚上8点半左右突然会高到25M，就掉线了，然后断开重新连接`又好了.怎么我做了限制10M，WAN口怎么会突然高到25M呢?`IN前天是25M,昨晚上突然IN到27M掉线`IN应该是下行数据,OUT应该是内网发出去的包吧?

[ 本帖最后由 qingxia3 于 2007-5-21 11:19 编辑 ]

qingxia3 · 发表于 2007-5-21 15:12:37

大家帮我下好吗？万分感谢！

sivalei · 发表于 2007-5-21 23:14:30

如果是如你第二个图

in的流量如此的话，那绝对是有人攻击了：（

在wan侧抓包，看是谁攻击你，或找isp监控下你的ip

robbiely · 发表于 2007-5-22 02:05:04

你的问题很有可能或者说比较确定的是遭到内网以下几台电脑的udp攻击，你重点查查这几个ip的电脑，特别是1.42和1.44，如果以下几台电脑每人用的话都断网，那你就重点查查病毒了，推荐用Mcafee Enterprise Edition8.5i的杀毒软件，杀毒效果好，占用内存少哈！我用了这么多杀毒软件就它是用的最久的。
1.42
1.44
1.11
1.26
1.45

近一个月网吧老是频繁掉线!

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源