紧急求助！局域网出现间断性延迟掉包！求大手帮忙分析下数据包！

欧阳坤

如果 紧急求助 正常的时候 ping 网关延时1 不正常就是就是掉包延时3000多 掉包的时候数据包会出现一个 172.16.8.126 但是这个地址ping不通 mac找了也没有

sdhz099

172.16.8.126这个IP地址主要是访问的qq空间。但是没有同腾讯服务器进行任何数据交换。
用科来自带的MAC地址扫描器查下这两MAC地址：
10:78:d2:7e:93:08
00:1e:de:00:43:f5
建议ip与拔MAC地址绑定一下。检查一下是否有ARP欺骗。限制下每台PC的带宽和连接数。看看是不有PC在进行P2P下载。
真不行就只能把所有网线从交换机拔下来，在一个一个往上插测试下看看是那台PC的问题。

sdhz099

如果是固定IP把所有IP与所对应的MAC地址做张表格出来，也好对比。关掉DHCP，设置静态IP试下。

tom9916

172.16.8.126这个IP存在产生SYN风暴，并且TTL值都为1，这个IP对应多个源MAC，根据科来统计如下
10:782:7E:93:08
00:E0:66:75:18:88
0C:72:2C:5F:02:ED
6C:E8:73:88:61:8F
50:46:5D:B34:41
8C:89:A5:7A:66:EC
从表面现象来看，疑是DDOS攻击，MAC欺骗攻击等等。

建议根据交换机的MAC转发表，找到上面交换机从哪些接口发送过来的，在交换机上隔离这些端口，然后顺藤摸瓜，找到这些MAC的电脑，进行全部杀毒。解决后，统一对公司所有电脑杀下毒。

附件，是关于172.16.8.126的SYN风暴诊断信息

欧阳坤

172.16.8.126 线以拔出 情况缓解 但依旧掉包 只是隔得时间长点

wangpeng1980520

DDOS,ARP欺骗，这是主要问题，网络中还存在环路，这个有可能是ARP欺骗造成的