ping外网时常掉包,请求帮助！（附有工程）

tbage

晕。。
网吧里最近ping自己公网的网关居然都有时会掉包的....

发现N的IP包生存周期太短...
真是郁闷到极点.

请大家帮忙分析下，看问题是哪儿的...这个包抓了将近半个小时的..

在该工程中，其中192.168.0.138是我用来抓包的机子，192.168.1.200是网关

[ 本帖最后由 tbage 于 2007-11-17 20:39 编辑 ]

人淡如菊

看了一下，你的网关广播ARP信息太快了，每隔1秒就发送一次。
有很多ARP响应都是无效的，估计内部有ARP病毒。
Internet Initiative:0D:C2:8D  这个机器谎报自己是网关

[ 本帖最后由 人淡如菊 于 2007-11-18 10:19 编辑 ]

tbage

内网的大部分机都在0段上，1段上的只有网和服务器等几台机...

居然0段有很多机，在向询问1段上的不存在的IP。。。
觉得挺郁闷的...

网关是个带ARP防火墙的路由器，设了，每秒发一个包的...这个是最小的了...晕...没法儿再降低了...
不过您提到的那个mac,跑去查了一下201那台机，因装的有还原，开机后检查了下，没发现机器上有病毒木马。怀疑是顾客上某个网站后中招引起的
倒是有好几个Internet Initiative。。。。

谢谢二楼的朋友！

[ 本帖最后由 tbage 于 2007-11-18 19:28 编辑 ]

tbage

不过，我仍想知道那N多的“IP包生存周期太短”，是何原因引起的```

lbzxy

请问楼主的网络是否只有0和1两个网段呢？在ARP Resquest数据包中，192.168.0.23和42以及230都在请求2或者3网段的IP，可能有问题，另外请检查一下路由器是否设置有误而导致了IP生存周期太短。

tbage

追查的第三天。

仍然是用科来工具.
在arp协议的arp request量，
发现request同response的比例相差还是比较大.（见附件:比例.jpg）

在request中，发现192.168.0.191这台机曾在两秒中内发reuest包达10多个,去191那台机实时检查，发现中igm.exe木马.

检查接入层交换机时，发现12台接入层交换机中有一台状态灯闪烁比别的都慢且温度较高，随即换下该交换机。
------------------------------------------------------------------------------------------------------------

回复楼上这位朋友。这间网吧有250台机，等我接手时，是这种情况：12台接入层7024DNS交换机------>一台7024DNS汇聚层交换机------->镜像交换机----->路由器
子网掩码：255.255.252.0，这个值我有想过改一下（255.255.254.0），考虑到现在要改比较麻烦，就还没改,所以，就有0，1，2，3四个段在里面.