奇怪的网络问题

srujon · 发表于 2008-4-17 10:35:38

问题：网络中有一台电脑只有收包没有发包，且收包率很大，占公司总流量的百分之五六十之多。但是跟它相连的只有一个连接。都是UDP包。该电脑没有做外网映射，外网是不能直接访问的，上网时通过NAT出去的。
请大侠们帮忙分析下数据包.
具体内容请见附件。

[ 本帖最后由 srujon 于 2008-4-17 11:13 编辑 ]

孤独的意尹者 · 发表于 2008-4-17 12:45:29

不知你的那台监控服务器运行的是什么应用程序，建议楼主咨询下软件厂商该软件的网络通讯行为特征。
首先，我们通过数据包可以看出，那台监控服务器在向188的机器发送UDP高端口的数据包，而且大部分数据包都是大包；
由于是UDP通讯，而且抓包的时间并不是很长，因此，单向数据包也有可能是正常的，这也是需要搞清楚监控服务器软件通讯特征的原因之一。

孤独的意尹者 · 发表于 2008-4-17 12:47:41

最好在异常时，在188主机上直接抓取数据包，这样更方便分析

srujon · 发表于 2008-4-17 14:01:26

谢谢大家的关心，谢谢孤独的意尹者的热心帮助。
经过查实，是监控服务器上在做测试。对方也没说具体做什么，用的什么软件。
有点疑惑：什么软件能狂发UDP包呢？且只发。而且188都被我封掉了，对方是怎么联上的？

oldjiang · 发表于 2008-4-17 14:09:14

请问楼主，全0的MAC、00:09:0F:04:3F:31、00:0F:E2:45:92:03 是什么设备？

srujon · 发表于 2008-4-17 16:19:21

全0的MAC我也不知道，应该是188的，可能是被改了的。
00:09:0F:04:3F:31是防火墙端口的MAC
00:0F:E2:45:92:03是交换机端口的MAC

dsdwwqq · 发表于 2008-4-18 11:03:18

病毒，病毒

只是一个神话 · 发表于 2008-4-18 12:59:31

找到对应的发包机器,如果是内网,看是否中毒或运行什么软件了.
如果是外网,就直接在防火墙上把这外网地址喀嚓掉.

奇怪的网络问题

回复 1# 的帖子

问题已经解决