请问一个关于广播包的问题~

wuliang520

网吧总共150台电脑~
有天以外断线之后就觉得不正常了~
玩什么网络游戏都会出线“卡”的现象~
抓包发现出现很多的广播包~
而且有时会出现少许组播包？
大概上机率只有不到一半的时候~
有时候会出现每秒高达几十的广播包~
最高一次抓到过90~
感觉肯定不正常~~
是否中毒了呢？
可是广播包又不只是一台客户机在发？
大多数的基本上都在发？
请问大家如何确定问题所在呢？

只是一个神话

包包，

哎，怎么都绕过重点的说。

wuliang520

我截取数据包~
每次都是1两分钟就有20几M
不知道怎么才能发上来？
楼上的兄弟能否加我QQ帮下忙~
实在是很焦急~
4970483

只是一个神话

http://www.51files.com/?ZPUG3CKJMQAGDQLN6TWN

帮LZ把数据包传上来了，大伙一起帮他看看，

wuliang520

感谢楼上兄弟热心的帮助~
虽然问题原因仍然还未查出~
但是心里一阵感动~

zealotcc

253 应该是有P2P之类的软件.关于广播包,基本是正常的

wuliang520

同时感谢楼上的这位朋友~
和之前2楼那位热心的兄弟分析基本上是一样的`
可是为什么前天晚上以外断线之后~
现在就有了玩任何网络游戏“一顿一顿”的现象~
实在很是奇怪~

只是一个神话

如果可以排除是因为253机器使用BT造成网络卡的问题。
那我觉得应该把注意点放在211这台机器上，据LZ所说这是台虚拟硬盘服务器，客户端要玩游戏就得连接上这台机器。
我对这东西不是很了解，我的理解是客户端在这台虚磁盘服务器上取得游戏资源（这一步是和虚拟磁盘服务器之间通信），然后运行游戏，游戏数据的传输应该是从本地网卡到网关再到INTERNET上，而不是在211这台机器上。
192.168.0.211:3130          222.81.226.197:www-http          HTTP      
但是从数据包中发现192.168.0.211和222.81.226.197的WWW－HTTP之间也存在大量的数据通信，而从楼主那得知抓包的时候并没有进行上网之类的操作。这一点感觉有点奇怪。

再者关于广播包，应该是万象发出的数据包，而且据我所知，NOVELL早期的IPXSPX网络标准是802.3，后来好像是802.2了，如果LZ网络中的NOVELL运行的是早期的IPXSPX，那是否存在不稳定，导致广播包增多？

如果只是玩游戏卡，我觉得还是要特别注意211这台机器

wuliang520

可是在问题出现之前211这台服务器用了很长时间没有问题~~

zealotcc

分析都还是停在想的阶段,楼主不如先将问题主机断网排查

KelvinFu

终于把LZ的工程文件下载下来了！

从工程文件来看，个人觉得问题主要还是在192.168.0.253这台主机，说明如下：

首先，通过工程文件，我们可以从宏观上大概了解下该网络：

在节点浏览器选择根节点，查看概要统计视图，诊断视图和协议视图，如图1、图2和图3所示。


概要统计视图中：TCP同步数据包和TCP结束数据包的比例相差较大，不正常的！

诊断视图中：TCP重复尝试连接，以及太多的重传等，也能初步的推测网络可能有问题！（可结合诊断视图下面的事件信息和参考信息）

协议视图，我们发现网络有主机在使用BT软件下载。

现在我们开始定位故障主机。

在端点视图，选择按IP类型来查看，同时选择按“网络连接或网络流量排序”，我们发现192.168.0.253，名列榜首，如图4。


我们定位到192.168.0.253这台主机，查看会话视图和矩阵视图，了解其通讯会话情况。如图5和图6




综上所述，发现192.168.0.253，他在使用BT软件，并且似乎在进行扫描攻击（请注意查看其端口变化），如果LZ方便，建议LZ断网查杀！同时在工程文件中，并没有发现像LZ所说的大量广播数据包。

BTW，在网络中使用BT这类P2P软件，也会严重占用网络的带宽。

[ 本帖最后由 KelvinFu 于 2007-5-30 10:55 编辑 ]

zealotcc

大家都向k版学习啊,图文并貌,good

szlb

图文并茂，这样很直观，很好，学习ing。

pxj80131415

嗯，大家都应该这样分析问题呀。
看了K这一文，获益不少

yechanghui

好东西呀,值得学习.