高手来帮我分析下这个包，谢谢了

sromwey · 发表于 2008-5-14 13:19:09

我是网吧用户，最近出现掉线情况。我抓了个包，请高手帮我分析一下问题出在什么地方。谢谢了

oldjiang · 发表于 2008-5-14 14:20:26

1、172.31.1.234/00:15:E9:AC:40:76有ARP扫描
2、172.31.1.254是网关吧？他启用了防ARP的功能，0.1秒一个包，也不少
3、SSDP协议的组播包较多，在论坛搜索“SSDP”或者“IP包生存周期太短”看看相关帖子
4、没有正确部署。关于部署，请参考：http://www.csna.cn/forum.php?mod=viewthread&tid=355和http://www.csna.cn/forum.php?mod=viewthread&tid=7807；关于部署的验证，参考http://www.csna.cn/forum.php?mod=viewthread&tid=8458的相关部分
5、抓包超出了缓存，诊断-数据链路层-ARP扫描的事件被冲掉了，可能还有其他机器有ARP问题

sromwey · 发表于 2008-5-14 18:18:32

恩，谢谢高手，可惜网吧机器多，分析软件只支持50个IP，有点郁闷呢

oldjiang · 发表于 2008-5-14 18:53:00

参考http://www.csna.cn/forum.php?mod=viewthread&tid=7914的图1，设置ARP过滤器，可以比较长时间的抓包，相对来说不会很快达到50个IP。另外防ARP可以参考http://www.csna.cn/forum.php?mod=viewthread&tid=8850

高手来帮我分析下这个包，谢谢了

本帖子中包含更多资源