公司网络奇难现象。请大家来分析下。有科来获取的数据包。

xinism

我先说说公司网络结构：  核心是三层交换机做的，配置了三个VLAN。核心下面三个接入交换机，每个楼层划*********一个VLAN，对应一台交换机。
一楼和二楼没问题，只有三楼（即VLAN 30）有问题，三楼网关是192.168.1.254。

事件：
     昨天早上，接到同事电话，他的台式机不能上网慢，安装的是XP系统，QQ上了后会立即掉线，网页打开很慢。
     开始以为是IP地址有冲突，要他重启电脑后就行了。

    过了两小时吧，两个老总的笔记本均无法上网，都是WIN 7的系统。

现象：
1.能获取到IP地址；2.能PING通网关和DNS地址；3.能PING通三个VLAN内的其它电脑；4.PING不通百度域名，偶尔能PING通一次。   过一会儿，又有两台WIN 7的本本不能上网，于是先杀毒，先后用了 360、金山、MSE、微点，都没有发现病毒，ARP防火墙也没有提示。

    运行网络岗抓包工具，发现大量的UDP包，目标地址全是保留地址。ARP请求正常，排除ARP攻击。
    A老总的IP地址是固定的，为192.168.1.90 ，为了测试，我把自己电脑的IP也设为192.168.1.90，把他的网线连上我的电脑，能上网，PING测试正常，抓包正常，没有通向那几个保留地址的UDP包，说明不是网线的问题。也不是IP的问题。

   现在这四台问题电脑只要有其中一台连上网线，接入交换机的灯狂闪，并有大量的UDP包，目标地址有以下几个：  224.0.0.22    224.0.0.252:5355    239.255.255.250:1900     。目标地址为239.255.255.250：1900的UDP包不是很多；每秒几千条的UDP包主要是发送到224.0.0.2  和224.0.0.252:5355去了。

   我在百度上找了半天，有这种的案例，但没有解决方法。
   虽然抓包软件显示包的类型为UDP，但翻看以前的案例，应该是UPNP和SSDP引起的。   于是我在其中一台机器上禁用了UPNP和SSDP的三个服务，也就是网络发现协议。  
    打开网络岗，数据流在1KB/s以下，和平时一样正常。我立即给那台禁用了SSDP的本本插上网线，把它的IP固定为192.168.1.179，可不到两秒种，数据流就狂飙到几百KB/s，上下幅度很大。我马上拔掉网线，再看抓包软件，UDP包依然在发送，交换机也狂闪，在一分多种后，192.168.1.179发送UDP的行为停止了，交换机恢复正常。
   大家说怪不怪，网线拔后一分多种，数据流依然存在。

   后来我设置了微点的防火墙规则，只允许PING，其它的拦截。再给那台本本插上网线，上网正常，抓包也正常，没有影响到网络。为了让它“发作”，我在自己电脑上进行了PING测试、NBTSTAT -A 计算机名解析、又在那台电脑上进行测试，都不能让他发作。 软的不行，就来硬的。 我拔掉网线，再插上，几秒种后，网络上的UDP包一下就起来了，192.168.1.179和192.168.1.203大量数据包通向保留地址。说明一下，1.179和1.203都是那台电脑的，1.203是无线网卡。

   现在这几台有问题的电脑，只能通过无线上网临时解决一下，不能接入有线网络。这里有意思的是，无线上网正常，抓包也没有异常！

   整到下午，我自己的本本也出现这样的情况了。只要拔下网线再插上，数据量就会很大，连网都上不了，几分钟后就OK了。

   求论坛里在能人分析一下，看是什么问题。用科来查不出问题所在，由于数据包过大，我只能贴几张图，能帮助的朋友请加我QQ274525342，可以提供数据包。

tang2011

有两种可能，一是未知蠕虫，二是网卡有问题（可能是数值设置不对）！

tang2011

还有你试一下把其它的网卡禁用一下，只用一个网卡！

xinism

试了，没用。

kstg3280988

感觉是局域网有毒，

xinism

周一上班后这个奇怪现象又没了

ronic_wzp

1，出口处的防火墙的地址列表更新出问题了
2，是不是这几台机器的网卡协议上安装了NETWARE的协议？

xinism

7# ronic_wzp
NETWARE协议都已经卸载了，SSDP也关了，但插上网线后，交换机灯就狂闪。这些天没有这样的情况了。

虎台痞子

同事的肯能是头子问题，垃圾软件。我也遇到过相似的问题 最后查出是不小心装了垃圾软件 杀毒软件查不出