网吧外网掉包卡的真正原因~

wuliang520

今天终于狠下心停止营业
把外网直接接在主机上抓外网包~
顺便请问一下~有什么办法能不断外网直接抓外网的包
拓扑结构是这样的
外网-路由-中心交换机-客户机
有什么办法能够找到那个攻击者的真正IP~
并且有什么方法可以预防?
路由是ROS2.9.27


16日13点40抓的那个包是在客户机抓的

请大家帮忙看看~我什么网都没开~

什么应用程序都没开~

怎么会有这么多的包经过~
252是游戏更新服务器
211是虚拟磁盘服务器
253是电影服务器
188是收银机
1是网关

[ 本帖最后由 wuliang520 于 2007-7-16 13:42 编辑 ]

palm

LZ 好象抓的包不是很对，
1. 将抓包的这台机器部署在中心交换这里，并且做好端口镜像。

如果中心交换没有端口镜像，那最好找一个Hub来做，方法见分析软件的安装部署。

2. 抓的数据包，最好在问题出现的时候，如果不确定，最好抓包的时间稍长一些。

刚刚下载了楼主的数据包文件，发现数据包非常少，而且好象没有做好端口镜像。数据包里面虽然有ARP，但是都是正常的ARP。

如果希望别人给你解决问题，则最好按照正确的方法提供数据，以免别人兴趣全无。

zealotcc

楼主的部署有问题,建议看一下论坛里科来部署的帖子

wuliang520

这个包我是直接单台电脑接外网抓的包~
没有经过任何的路由和交换机~
PING外网掉包~

wuliang520

原帖由 palm 于 2007-7-15 09:58 发表
LZ 好象抓的包不是很对，
1. 将抓包的这台机器部署在中心交换这里，并且做好端口镜像。

如果中心交换没有端口镜像，那最好找一个Hub来做，方法见分析软件的安装部署。

2. 抓的数据包，最好在问题出现的时 ...

我的中心交换机可以做镜象~
可是一抓包就有个几十M~
不知道怎么发上来~
第二~我在中心交换机上无法抓到外网进来的数据包~
比如说攻击~
不知道这样部署是否正确外网-HUB-路由-中心交换机
在HUB那接台电脑就可以抓到外网的包了?
再问~任何的HUB都可以吗?HUB有没有有镜象无镜象之分~
那接HUB的那台抓包电脑IP应该如何设置?
两台电脑同时设置为外网IP?

感谢楼上两位兄弟的帮助~

wuliang520

http://pickup.mofile.com/6596578694525343
在中心交换机上端口镜象抓的包~
请各位朋友帮我看一看
外网掉包严重`

只是一个神话

全单向UDP包，UDP FLOOD？

wuliang520

什么意思?不懂?
怎么解决?

天蓝

原帖由 wuliang520 于 2007-7-15 18:25 发表

我的中心交换机可以做镜象~
可是一抓包就有个几十M~
在HUB那接台 ...

如果一抓就是几十兆，可以再把时间缩小一点，然后打个压缩包，即可把文件上传上来，只要压缩包小于2M都没有问题。

不知道这样部署是否正确外网-HUB-路由-中心交换机

正确的应该是：外网  ----  路由  ---- 中心交换机（端口镜像）
                                                   |
                                               网络分析服务器

这里不需要Hub，因为你的交换机可以做镜像，则不需要使用Hub，只要把到路由的那条线镜像到网络分析机器上。

wuliang520

回楼上的朋友`
可是这样做抓不到外网的啊~

wuliang520

比如外网有人攻击的包就抓不到

zealotcc

你说的直接接外网是接光电转换器上抓的包?那电信ping过来掉包吗?

包里有UDP攻击的迹象,207是你们的ip?

wuliang520

原帖由 zealotcc 于 2007-7-16 10:15 发表
你说的直接接外网是接光电转换器上抓的包?那电信ping过来掉包吗?

包里有UDP攻击的迹象,207是你们的ip?

是的~直接接在光转换器上抓的包

207是我的IP

我也感觉是攻击


第二个传在网盘里面的包是我在中心交换机上抓的路由内网卡与中心交换机连接端口的包

我准备在一台客户机上抓一个包发上来

刚才用一个简单的抓包器发现我什么应用程序都不开什么都不连接居然接收到很多的UDP包~

一会请兄弟们看看

wuliang520

难道没有热心的朋友愿意帮助一下？

只是一个神话

第二个是内网包，内网问题不是已排除？