终于正确部署了科来，也抓到东西，但是不懂，帮忙分析一下我抓的包吧，谢谢。

maryjan · 发表于 2007-6-26 16:02:33

终于正确部署了科来，也抓到东西，但是不懂，帮忙分析一下我抓的包吧，谢谢。
文件太大，我自己上传到我们网站，下面是下载链接：
http://www.oitchina.com/ji.rar

zealotcc · 发表于 2007-6-26 16:50:35

相关的休息给一下？网络出现什么故障了？

maryjan · 发表于 2007-6-26 16:51:30

时断时续，网络很慢，可是ping内网，外网都通，MSN、QQ正常。

zealotcc · 发表于 2007-6-26 17:00:57

建议你先看看是不是硬件性能不足、网线等问题，包待我细细看

maryjan · 发表于 2007-6-26 17:25:15

我可就指望您了，ZEALOTCC，我们的硬件没有问题，是突然间这样的。从4.28开始，两个多月了呀。

只是一个神话 · 发表于 2007-6-26 19:02:04

192.168.1.9
192.168.1.130
192.168.1.6
192.168.1.38
192.168.1.178
192.168.1.19
LZ可否告知这些机器都是普通的客户端机器吗？
其中9、19和130是否跑了什么软件？

[ 本帖最后由只是一个神话于 2007-6-26 19:04 编辑 ]

maryjan · 发表于 2007-6-27 08:28:10

除了6，其它都是普通机。他们表面反正没有运行什么软件。表面看就是19看的网页比较多。

feiyang0101 · 发表于 2007-6-27 09:36:21

lz怎么下载不了数据包？这让我们怎么给你分析！！！！

只是一个神话 · 发表于 2007-6-27 10:00:52

9、19和130，如果确定没跑什么软件的话，断网杀毒，杀不出毒的可以把他们的网断掉看网络是否恢复正常。

maryjan · 发表于 2007-6-27 10:10:29

40、53、108没有问题吗？
http://www.oitchina.com/ji.rar

只是一个神话 · 发表于 2007-6-27 10:21:59

不排除你说的那几台也有问题，但是这几台是最严重的，90个以上的通讯主机，感觉像BT。

maryjan · 发表于 2007-6-27 10:42:07

BT、迅雷、电驴都没有装呀。真没有办法了。

maryjan · 发表于 2007-6-27 10:47:44

版主能否给解释一下？zealotcc

qzyuanmu · 发表于 2007-6-27 11:10:50

链接有问题啊,包下载不了

maryjan · 发表于 2007-6-27 11:58:40

这是我诊断抓的图。请大家看一下，没有ARP风暴。

ysj0769 · 发表于 2007-6-27 13:25:51

下在不到，如何分析？

zealotcc · 发表于 2007-6-27 13:33:37

44 130 178 6 9 断网排查

是掉线还是延迟?全部还是某几台?

maryjan · 发表于 2007-6-27 14:00:16

并不掉线，是延迟，直至出现“网页无法显示”　要是狂点IE地址栏后的：“转到”，就没准哪次能出来。

maryjan · 发表于 2007-6-27 14:06:56

版主，zealotcc　能说一下为什么是那几台吗？

只是一个神话 · 发表于 2007-6-27 14:09:49

把可能有问题的主机网都断掉，看情况如何，再作进一步分析。

先把几台可能有问题的主机断网，接着用科来再抓包，看网络情况，如果没问题了，回过头去处理这几台问题主机，如果还有问题，继续排查。

我们都不知道你那的具体情况，LZ先不要急，一步一步来。

LZ也可以使用PING 网关IP/INTERNET IP -t看网络是否有丢包或是延迟现象。

maryjan · 发表于 2007-6-27 14:26:35

感谢：只是一个神话和版主的帮忙，只是我真的想搞明白如何判断是哪几台电脑有问题。

只是一个神话 · 发表于 2007-6-27 14:37:16

从你的包中可以确定的是没有ARP攻击。但130那台机器116个通讯主机，怎么样都不正常啊。
出现网络时断时续，一般不是硬件问题（网线及路由器）的问题就是受到别人的攻击。如果是这种情况，一般网关都有两个IP，一个是公网的的IP在WAN口上，一个是内网的IP在LAN口上，LZ可以先PING LAN口的IP，然后PING WAN口的IP，再PING 外部IP（比如你们那电信的DNS服务器），看是否丢包或延迟。
你也可以找个在外面上网的朋友PING下你的公网IP地址，如果通了，那。。。。。。。。。。。。。。。。

maryjan · 发表于 2007-6-27 17:26:49

谢谢神话的帮忙！不过一定要说完事呀。如果外面的朋友能ping通怎么了？本人比较笨，呵呵。
另：130的电脑不开机　我们的网络一样的状况呀。

只是一个神话 · 发表于 2007-6-27 18:48:15

外面能PING通说明网络有最大的安全漏洞－DDOS攻击。

另外如果从包上分析，除了130还有几台机器是可疑的
192.168.1.9
192.168.1.130
192.168.1.6
192.168.1.38
192.168.1.178
192.168.1.19
我们只能给你分析可能出现的问题，具体接触到真实情况的是你自己，反正各个方面都留心一点，或许会有意外的收获。

maryjan · 发表于 2007-6-28 08:42:38

多谢神话，能否与你神聊？呵呵　我的QQ：178147359　MSN：BAOJIANSONG@HOTMAIL.COM

maryjan · 发表于 2007-6-28 08:45:07

分析这几台有问题的原因：不会是因为他们数据流量大吧？有些电脑就是浏览的东西多呀。

只是一个神话 · 发表于 2007-6-28 09:58:40

当然不仅仅是，你看看诊断信息。如果只是浏览网页多，会出现这么多状况吗？

maryjan · 发表于 2007-6-28 10:59:47

能不能说的详细一点儿呀，我很想学得彻底一点儿呀。到底都有什么状况呢？

只是一个神话 · 发表于 2007-6-28 12:35:15

我们只能提供分析，把可能的情况说下，但具体是不是这样的，接触真实情况的是你自己，到底是什么问题LZ可以去排查下。比如130的机器，可以去看看他是不是在跑什么软件，是不是中了什么病毒。
因为我说是130在下BT，而下BT是会产生这种情况，但事实并非如此，你过去一看，什么软件都没跑。甚至网页都没打开一个。那是否是什么病毒程序呢？

帮你顶一下，让大伙一起帮你分析，我一个人能力有限，想法也是片面的。

终于正确部署了科来，也抓到东西，但是不懂，帮忙分析一下我抓的包吧，谢谢。

回复 #2 zealotcc 的帖子

回复 #4 zealotcc 的帖子

回复 #6 只是一个神话的帖子

可以下载了，请大家再帮忙分析一下。

回复 #11 只是一个神话的帖子

版主能否给解释一下？

这是我诊断抓的图。请大家看一下，没有ARP风暴。

并不掉线，是延迟，直至出现“网页无法显示”

版主，zealotcc　能说一下为什么是那几台吗？

感谢：只是一个神话和版主的帮忙，只是我真的想搞明白如何判断是哪几台电脑有问题。

谢谢神话的帮忙！不过。。。

多谢神话，能否与你神聊？呵呵

分析这几台有问题的原因：不会是因为他们数据流量大吧？

能不能说的详细一点儿呀，我很想学得彻底一点儿呀。

终于正确部署了科来，也抓到东西，但是不懂，帮忙分析一下我抓的包吧，谢谢。

回复 #2 zealotcc 的帖子

回复 #4 zealotcc 的帖子

回复 #6 只是一个神话 的帖子

可以下载了，请大家再帮忙分析一下。

回复 #11 只是一个神话 的帖子

版主能否给解释一下？

这是我诊断抓的图。请大家看一下，没有ARP风暴。

并不掉线，是延迟，直至出现“网页无法显示”

版主，zealotcc 能说一下为什么是那几台吗？

感谢：只是一个神话 和版主的帮忙，只是我真的想搞明白如何判断是哪几台电脑有问题。

谢谢神话的帮忙！不过。。。

多谢神话，能否与你神聊？呵呵

分析这几台有问题的原因：不会是因为他们数据流量大吧？

能不能说的详细一点儿呀，我很想学得彻底一点儿呀。

回复 #6 只是一个神话的帖子

回复 #11 只是一个神话的帖子

版主，zealotcc　能说一下为什么是那几台吗？

感谢：只是一个神话和版主的帮忙，只是我真的想搞明白如何判断是哪几台电脑有问题。