最近网络不明原因拖的很慢用科来的测试结果请斑竹务必帮忙分析下

hlzs1

最近网络不明原因拖的很慢，用科来的测试结果在附件里

请斑竹大人或高手们务必帮忙分析下！先谢谢了~

ValorZ

提供个.cap格式的？那个比较通用

hlzs1

原帖由 hlzs1 于 2006-8-3 16:46 发表
最近网络不明原因拖的很慢，用科来的测试结果在附件里

请斑竹大人或高手们务必帮忙分析下！先谢谢了~

我发上来不知道行不麻烦斑竹帮忙分析下！谢谢了！

ValorZ

首先192.168.0.201有ARP请求风暴
其次，你的sniff位置似乎不对。
再次，你的机器似乎中病毒了

zhengj3

看了一下，有三个问题。
1、192.168.0.4这台是什么东西啊？是不是代理服务器啊？如果不是，应该是中什么毒了，在不断 的连接病毒网站。
2、存在很多60字节的ARP包，病毒可能存在。IP地址为192.168.0.201发的最多。
3、存在很多源、目的地址为127.0.0.1的包，这个无法理解？

菜鸟人飞

如楼主二位大大所言，192.168.0.201在ARP扫描，可能是在运行监控软件，也可能是感染病毒或者其它恶意程序。
另外，抓包的位置不对，应该只捕获到了本机和网络中其它主机的广播组播数据包，由于数据包不完整，故无法准确地定位故障。
源和目的地址都是127.0.0.1，这是本机发起的本地回环数据包，这些数据包没有通过网卡，这里应该是192.168.0.4这台机器内部发起的。

菜青虫

分析固然关键，但是分析的前提就是安装部署。

hlzs1

原帖由 菜鸟人飞 于 2006-8-4 09:28 发表
如楼主二位大大所言，192.168.0.201在ARP扫描，可能是在运行监控软件，也可能是感染病毒或者其它恶意程序。
另外，抓包的位置不对，应该只捕获到了本机和网络中其它主机的广播组播数据包，由于数据包不完整，故无 ...

首先先谢谢以上几位楼主和斑竹的大力帮助！201机器是我开了监控软件的！现在抓包位置已经做了调整，也已经对以上提到的计算机做了杀毒处理，确定没有感染病毒！ 现在提供刚抓的包上来还望 斑竹大人和高手们在帮忙下分析下！谢谢

zmc837

看了数据包，发现108a和和1d20的通讯量达到了71.70%,108a和fdd6达到了18.74，和108a有关的数据通讯量就达到了90.44％，这是很不正常的流量，在严重影响着网络，对108a数据包过滤，发现108a的tcp三次会话都不完整，都是ack，我认为问题应该出在108a（ip为：192.168.0.4)上，分析粗糙了点，请指点

aishangni

首先，我觉得108a是网关，流量大应该很正常，

还有108a对应的IP应该是192.168.0.1，

从LZ最后提供的数据包没有看出什么特别的问题

hlzs1

先谢谢楼上的几位的帮忙！！斑竹有空吗？帮我分析下！谢谢 ~~期待你们的分析结果！

菜青虫

原帖由 aishangni 于 2006-8-4 16:34 发表
首先，我觉得108a是网关，流量大应该很正常，

还有108a对应的IP应该是192.168.0.1，

从LZ最后提供的数据包没有看出什么特别的问题

同意！呵呵，最后的数据包是没看出什么问题勒

artico

108a（ip为：192.168.0.4）是什么机子，怎么HTTPS那么高，是不是在访问微软的网站？

没看出有什么 不对？

hlzs1

好的！我先谢谢斑竹和所有关注本帖的所有朋友的帮忙！
现在只能从其他方面在找找原因了！

在次非常感谢楼上所有人！！

caidaowang

好像还没有讨论完就走了，真可惜啊

xinya225

看了下
支持楼上所说