公司网络非常慢，抓包之后发现源端口为0的包，求大神分析，不胜感激。

huainanmu

公司拓扑为：internet-ASA5510-cisco3560-二层交换-PC 。现在把三层交换上行端口镜像进行抓包分析，在分析的过程中发现源IP地址为防火墙的外网口IP端口为0的包占流量非常大，一直尝试连接一个服务器，但是一直被拒绝（见附件1），现在有几点不明白 1：为什么在内网三层上抓包看到源IP为外网口的公网IP和目的地址是公网的包。2为什么会出现源端口为0的包。  在分析中发现有一个exsi的服务器，只要插上网络就很慢，上面放的虚拟服务器的IP为 192.168.10.11/14/15/17.但是没有发现他们流量异常。
求大神帮忙解答疑问和网络存在的问题可能原因，非常感谢。
有不明白的地方回帖大家一起探讨，不胜感激，因为本人在线时间为9：00-6：00，如果没有及时回复您 ，请见谅。

xxx314

lz，你的数据包里简要分析了一下，你的问题描述有点不清楚（你的exsi服务器的地址多少？你的exsi服务器上面放的虚拟服务器是否是引起你插上网络就很慢的原因（建议对exsi服务器的插上网络就很慢的原因缩小范围---到底是上面虚拟服务器有问题还是本身自己这个服务器上面的其他一些应用或者服务有问题）？）

另外上面218.202.250.102与113.107.102.113之间会话，首先在内网三层上抓包可以看到源IP为外网口的公网IP地址和目的IP为公网的地址的包是可能的（比如伪造的包），建议lz通过查看其MAC，看是否这两个mac为内部pc的mac

端口为0这种情况，0号端口一般不会使用的，其作为保留端口，如果发送过程中，不准备接受回复消息，也还是可以作为源端口来用的，而且0端口一般是用来分析操作系统的，因为在一些系统中，0端口为无效端口，有一种扫描就是利用这个情况（但是你这里网络情况来看，首先你需要确认218.202.250.102与113.107.102.113是否是你内部PC，预测一下：估计可能有一个是。。。。。）

另外通过分析你的tcp的同步发送和同步确认发送来看，很有可能是在进行探测。。。。但是被RST了。。。。。

最后：lz把你设计到的服务器的地址求告诉。。。。


ps：lz把信息描述清楚一些吧。。。。下来再分析分析。。。。

huainanmu

lz，你的数据包里简要分析了一下，你的问题描述有点不清楚（你的exsi服务器的地址多少？你的exsi服务器上面放的虚拟服务器是否是引起你插上网络就很慢的原因（建议对exsi服务器的插上网络就很慢的原因缩小范围---到底 ...
xxx314 发表于 2013-6-20 09:30

非常感谢斑竹能这么快的给予回复，看到的有点晚，非常抱歉。
我查看抓包的mac在交换机上查找了下，发现源mac为三层交换的mac，所有出外网的包的源mac都为这个地址。
这是一个朋友接私活维护的一个公司的网络，把虚拟服务器线扒掉之后网络正常，所以应该是这个服务器上某些服务什么引起的，不知道他是把这个问题到此为止还是会再深层次的挖掘，有进展的话我会马上上来和大家探讨下。  所以到目前的话就是提供不了虚拟服务器里面的具体的IP了，个人感觉可能会是虚拟服务器上面的某个服务配置的有误，导致，为啥会配置个公网的IP实在想不通。有可能是病毒伪造的。
非常感谢斑竹的回答，我和您一样非常期待能够找到引起问题的根本原因，如果有进展会第一时间回复，谢谢。

yxg200390

学习了。谢谢。