大量TCP慢应答，网速慢，掉线，非带宽问题，请教朋友们分析一下

tomatobobo · 发表于 2011-12-3 11:33:00

刚到这家公司不久，公司网络问题严重。网速慢，经常掉线，有时还有ip冲突。网络结构很简单，2M独享宽带接入，连接一台CISCO WRV210无线路由，再连到一台CISCO C2960 24口交换机（新买的），电脑二十四五台（包括笔记本），有一些用5口的小交换机和中心交换机连接，偶尔还有一些iPAD\iPhone用无线上网。
我在中心交换机上做端口镜像用科来抓包30分钟分析，发现几个问题：
1.TCP慢应答和TCP重复的连接尝试非常多
2.很多ICMP端口不可达
3.有几台机器存在比较多的ARP扫描

我先将有较多ARP扫描的机器断网杀毒，但连上后现象没有消失，而且都在扫描同一ip192.168.1.128,而这个ip没有任何设备，请问大家是什么原因？

其中一台机器还存在大量的ICMP端口不可达

、

开始时我怀疑是ARP攻击，但分析协议后发现ARP虽然不正常，却并没有占用大量的流量。

对于大量的TCP慢应答开始我怀疑是带宽问题或是DNS问题，用科来的ping工具从交换机上ping两个DNS一个正常，一个不通。而下班后公司只开了一台电脑抓了一下包，依然是大量TCP慢应答，应该就不是带宽问题了。最近老板天天催我，催得我直冒汗啊！请各位朋友帮忙分析一下，可能是什么原因，应该如何解决？小弟万分感谢！！！！！！！！

qihua555 · 发表于 2011-12-3 22:52:05

你可以先将icmp慢应答那个机器停掉，查看网络情况，我也正在解决公司网络问题，发现很多的慢应答和icmp都是主要由1台机器引起的，这个机器链接的主机数居然有上千个，我毫不犹豫的把它咔嚓了，目前来看好像解决了，现在就是等待时间验证。

tomatobobo · 发表于 2011-12-4 10:31:05

感谢楼上的朋友帮忙做的分析。我补充一下，发现两台有较多ARP扫描的机器后，我将这两台机器进行了断网杀毒，其中就有ICMP很多的那台。断掉这两台机器期间，我又抓了一下包，ICMP和ARP都少了很多，但依然有大量的TCP慢应答。所以我觉得这应该不是网速慢的主要原因。还有没有其他原因能造成这种现象呢？会不会是DNS或者是路由器的问题，又或者是我不知道的其他什么原因？小弟才疏学浅，还请各位朋友不吝赐教！！！

iejtqy · 发表于 2011-12-5 13:45:41

本帖最后由 iejtqy 于 2011-12-5 13:50 编辑

3# tomatobobo
我觉得你现在应该具体了解以下几点：
1.你说非宽带问题，那么你抓包，必须确定你的出口带宽利用率在多少？
2.你说的网速慢，用PING到网关，以及到外网是否出现在延时或丢包？如果出现那么查丢包具体位置，什么原因引因引起丢包。
3.还有你说的掉线的具体表现是什么样？如：是完全不能能通信了，还是说能跟网关通信，却不能跟外网通信。你要对你的网络的前期的一些基本测试都要了解清楚，确定故障类型才好开展后续的分析思路。有针对性的进行分析
4.你上图的重复连接尝到试你得确认是什么应用造成。
5.确认下ICMP端口不可达的差错报文是谁产生，产生的是什么差错
6.确认你网络的平均大小分布，你说非带宽问题，那么在全局来看如果短时间产生过多的小数据，虽然流量不大，但是会对中间设备的性能产生影响。可查看下你中间设备的CPU利用率之类的。
7.你说网速慢，那么开网页应该也是很慢吧？那么也可以抓包针对HTTP会话做分析。
你没有传数据包上来，我就说说这分析思路吧。

yang8766 · 发表于 2011-12-7 23:32:36

你看一下ARP应答的数据包，可能就会发现网关IP对应的ＭＡＣ地址经常性地被欺骗。

yang8766 · 发表于 2011-12-7 23:38:21

可能是不间断的ARP欺骗导致不间断的掉线，给上网的人的感觉就是网速很慢。

juxiangdong · 发表于 2011-12-8 17:22:34

不错学习·······

juxiangdong · 发表于 2011-12-8 17:35:06

我感觉画出拓扑图来，
进行一段一段查询：
你们办公电脑是否都再一个网段，如果俩个网段是否其他网段也延迟、丢包、
如果你在延迟大的网段里你可以tracert一下延迟是到哪里一下打起来的。
如果延迟找到了·问题应该也就找到了。