大家看看我这么做对吗？

stars_lf

先说说我所在网络的情况：

我这里用的是电信的网络，用一台TP-Link TL-R402M宽带路由器共享上网，后来上的人多了，就在下面又加了一台8口交换机，后来人又多了，就在交换机下又加了一台8口交换机。这样一直用了两年左右，一切正常。用软件下载的速度一般都在1MB左右，最高能达到2.5MB。不影响其他人的正常使用（比如看电影、听歌、打游戏）。可最近一个半月以来，网络速度时快时慢，快时一切如常；慢时，PING路由都不通，或者丢包严重，更不用说开网页、打游戏了。

于是大家把各自的电脑重做系统、装防火墙、杀毒软件、重做网线的水晶头、换路由器、换交换机。可情况一直不好。最后，没办法了，去网上找资料，发现了科来网络分析系统技术交流版，注册使用了一下，发现ARP特别的多，两分钟抓到410个请求。看论坛上说这种现象挺多的。后来，按论坛其他人的方法，我试了一下，结果在网内找到了两台中了ARP病毒的机器，重做系统后解决问题。问题是解决了，可我还是有些东西不懂，希望大家出出主意，帮帮我。

第一、论坛上说，要先设置好电脑抓包时连接位置。还有端口映视什么的。都看不懂，也不会弄。我的电脑直接接在了路由器的口上，安装了科来网络分析系统，就这么直接抓的包。大家先说说这么做的方法对不对。如果不对，应该怎么架设呢？

第二、还看到一台192。168。1。200的机器，不断的发送ARP的方播，目标地址是FF：FF：FF：FF：FF：FF。不断的询问，192。168。1。0这个段内的地址告诉192。168。1。200，开始以为这台电脑中了ARP病毒，可用网上下载的专杀，查了一遍，居然没有，可他的电脑确实在不停的发包。但是有一点就是，大家上网一切正常，速度也正常。网关的IP地址在ARP缓存里对应的MAC地址是对了。我就不明白了，这台机器为什么不停的发包。我们现在用的是手动指定IP地址和DNS还有网关。

第三、当一个网络出现问题后，如果我用科来网络分析系统，我应该按什么步骤做呢？首先应该怎么架设安装分析系统的电脑，其次、抓包后，分析时应该先分析什么，后分析什么（因为功能太多，我不知道从哪入手）。

第四、不懂的太多，继续学习。。希望大家多多帮忙。谢谢大家。

[ 本帖最后由 stars_lf 于 2007-7-3 11:56 编辑 ]

zealotcc

1.tp-link路由上直接抓arp包没问题的,因为广播式的协议相对对抓包要求比较低,如果想抓其他包就得考虑一下部署了,论坛有相关部署的帖子

2.如果200不存在,那肯定是不正常的,论坛里很多朋友反映arp病毒被杀毒软件发现的几率非常小.即便是没杀出来也不代表就没有.如果是有规律的历遍网段内主机,那么可以理解为此举是为局域网内部监控服务

3.这个就比较泛了~~多看看论坛的帖子吧

[ 本帖最后由 zealotcc 于 2007-7-3 19:13 编辑 ]

v313376448

为什么要从交换机下接交换机，不是可以从路由下直接接吗？

fafaaipingping

我觉得他的部署就有问题   

             其实    掉包也是很正常的              你们如果烂用带宽      也会出丢包的