局域网十分异常。好象是广播风暴！大家帮忙分析一下。

tanbebe · 发表于 2007-7-16 12:16:16

局域网400台机子，我在中央交换机抓的包。看见snifer提示好多广播风暴但是自己能力有限，不懂分析。请大家帮忙分析小弟十分感谢！

网关是 192.168.0.1/22 00-17-9a-c0-40-25
抓包机子是 192.168.0.17/22 00-19-DB-26-D6-80

这里是网吧问题复杂！最近网络问题搞得头痛。干脆全部一起写上来！
1.奇怪的事情很多。昨天在路由上面看见2台机子的MAC地址一样

都是60-50-40-30-20-10 去看了2台机子，也没中病毒也没什么异常，网卡都是NF4集成的，但是MAC地址都改成了60-50-40-30-20-10 我看了郁闷半天。有什么办法可以改回来？
2. 外面客户机有几个很不正常，就是机子网络变的很差，100M的网络变成1M的网络一样。ping网关掉包。但是这种情况不是什么时候都发生，只是偶尔发生在某些机子上。这个是最头痛的问题！这个问题的解决办法就是重起交换机和断所有这个交换机内机子的电源。

[ 本帖最后由 tanbebe 于 2007-7-16 12:46 编辑 ]

tanbebe · 发表于 2007-7-16 12:24:53

再上传另一个包大家帮忙分析，我看了好久好象是192.168.0.8 192.168.0.16 2台有问题~`` 不知道是不是

[ 本帖最后由 tanbebe 于 2007-7-16 12:27 编辑 ]

chirontan · 发表于 2007-7-16 12:28:24

你检查一下你的192.168.0.8那台电脑吧，ARP请求太多，有问题

chirontan · 发表于 2007-7-16 12:30:38

还有一台192.168.0.17那台电脑ICMP包也很多，断掉再抓一次看效果怎么样

tanbebe · 发表于 2007-7-16 12:32:41

192.168.0.8 机子的收银服务器，多点也没什么不正常的啊！`~`

chirontan · 发表于 2007-7-16 12:37:15

你的两个包我都看过了，你把重点锁在192.168.0.8 192.168.0.17这两台电脑上好再好好研究一下
192.168.0.17问题最大了

tanbebe · 发表于 2007-7-16 12:40:18

192.168.0.17 就是我抓包``发贴的机子应该没有什么问题。如果我换其它机子抓包，估计那台机子也是流量最大。
我抓都是直接接中央交换机抓的，中央交换机没开镜象端口。不知道这些包是不是准确。

蓝色梦园 · 发表于 2007-7-16 15:57:38

楼主要抓包分析，就应该抓出现问题所有端口的数据包！所以，必须要做
端口镜像，把其它端口镜像到一个端口，通过这个端口抓包来分析！不然，
你抓到的只是一个端口的状况！

zealotcc · 发表于 2007-7-16 16:45:39

arp请求的频率太高了，还有其他的诸多的广播类流量

１．检查交换机有无环路

２．对大流量的主机断网排查

jxj0918 · 发表于 2007-7-16 17:01:51

最新版本的的迅雷软件支持BT下载功能,该软件默认就是利用UDP15000端口
你的192.168.0.17:15000这个是否要查一下哈.呵榀.

wujbob0720 · 发表于 2007-7-16 17:11:40

下了看看
下了看看
下了看看
下了看看
下了看看

wujbob0720 · 发表于 2007-7-16 17:14:25

晕银子不够，还不能下

tanbebe · 发表于 2007-7-17 10:53:07

大家来帮帮忙~~` 小弟在此谢过~

chirontan · 发表于 2007-7-17 12:30:03

你的科来软件是怎么布署的，把拓扑贴出来

happyboygd · 发表于 2007-7-19 14:46:10

把源端口为15000的UDP数据包封掉即可。。。。。

是迅雷搞的。

msi111 · 发表于 2007-7-22 20:50:15

应该是占用了太多的带宽，先把流量的机子找出来。

gxqwl · 发表于 2007-7-23 04:51:01

晕银子不够，还不能下
晕银子不够，还不能下
晕银子不够，还不能下
晕银子不够，还不能下
晕银子不够，还不能下
晕银子不够，还不能下
晕银子不够，还不能下

fafaaipingping · 发表于 2007-8-30 14:42:05

你的sniffer 少了个 N 呵呵

monstercom · 发表于 2007-8-31 15:25:24

路过，向各位前辈学习。