内网不通,大量nbns包,拔了网线重插好了?

cliked

内网有30多台机器,交换机都是不可网管的,笔记本直接接在某一端口上抓包,发现大量nbns包,把可疑的机器断网后再抓,又发现其他机器发送大量nbns包,每抓一次就有新机器被列入可以对象.
为了确保单位关键应用可以继续开展,拔下所有其他机器的网线,这时网络正常,大概过了2个小时后,再把那些网线插回去,网络也正常了.此问题,我实在想不通,附上第一次抓的包,大家帮忙分析一下

从零开始

NBNS广播包主要来自60和61这两个主机，楼主可以关闭137端口试试；99的ARP请求频率也较快，应该检查一下；
另外可以参考下这个帖子：http://www.csna.cn/forum.php?mod=viewthread&tid=595

oldjiang

有环路。首先看概要视图，每秒位、每秒包个数都很大，其次逐个看IP各协议的包的IP标志。

[ 本帖最后由 oldjiang 于 2008-4-18 13:01 编辑 ]

detur

MAC为00：0F：E2：2E：0B：37下有两个都是外网地址
IP为192.168.1.114的机子没有发送只有接收数据包，且收到的都是00：0F：E2：2E：0B：37下两个IP所发送的。MAC为00：0F：E2：2E：0B：37的那台机子是内网主机，IP为伪造出来攻击。找出这台主机详细检查。
61和60的问题2楼以说过。还有15、114和37也在用137和138端口，对255发送数据包。137和138端口是UDP用于网上邻居传输文件时用这个端口，但在这里接收地址为255很明显不是传输文件~！
99这台机子不停在发ARP请求数据包，平均每秒4000余次。查看此主机上是否有伪造数据包或中毒。

detur

不是环路，如果是环路，IP标识相同，但生存周期是会递减的。这里都是52和116，没有变。有点像数据包生成器发出的数据包。也有很多病毒同样会伪造这样的数据包

oldjiang

1、00：0F：E2：2E：0B：37 可能是网关
2、UDP137、138对255发数据正常，因为大部分情况下是广播包，TCP139或445才传输文件
3、在局域网内循环，不过路由器，TTL是不会变的

cliked

谢谢各位帮忙
00：0F：E2：2E：0B：37确实是网关,可疑机器也都进行过检查,并未发现什么木马病毒
还有个问题就是如果是环路,为啥我重新拔插全部网线就好了呢

oldjiang

我觉得有环路的情况下应该看不出哪个机器可疑，因为某个机器它想发包，但是因为网络忙而不能发，拔掉一些机器后，网络没那么忙了，可以发包，如果环路还在，它就成了新的可疑的机器。环路我没有见过，想一想，建议楼主这样排查：
1、用科来的数据包生成器持续发一个广播包，同时在另一个机器上抓包，然后逐个插上机器的网线，看插到哪一个的时候流量大增。
2、或者把所有的机器都断电（拔掉电源），观察交换机还有哪个灯是亮的。

kwokyu127

參考一下!!!!!!!!!!!!頂

gaoshanfeng

最大的