请大家看看我抓的同步数据包，分析有什么问题？

nogain · 发表于 2008-6-23 14:31:59

学校局域网使用有五年了。现在遇到了一些新问题。以前网络Ping不通时，会发现有大量的ARP攻击，但是现在却一个也发现不了。现在我针对SYN攻击抓了同步数据包，请大家帮我分析一下。看有什么问题。

oldjiang · 发表于 2008-6-23 15:20:17

1、你抓的是syn+ack包，不是syn包
这是syn的

这是syb+ack的

2、不过从数据包来看，199这个机器还是有点问题，在BT
协议

矩阵，连接数很多

oldjiang · 发表于 2008-6-23 15:22:18

科来可以同时开多个，其中一个不使用过滤器，其他实例使用不同的过滤器

nogain · 发表于 2008-6-23 17:07:08

谢谢版主的回复。
一、Ping为什么周期性的断？
这里我把我的Ping结果粘贴一部分上去，请大家看一下。
Reply from 192.168.4.254: bytes=32 time=9ms TTL=64
Reply from 192.168.4.254: bytes=32 time=88ms TTL=64
Reply from 192.168.4.254: bytes=32 time=69ms TTL=64
Reply from 192.168.4.254: bytes=32 time=29ms TTL=64
Reply from 192.168.4.254: bytes=32 time=27ms TTL=64
Reply from 192.168.4.254: bytes=32 time=12ms TTL=64
Reply from 192.168.4.254: bytes=32 time=27ms TTL=64
Reply from 192.168.4.254: bytes=32 time=22ms TTL=64
Reply from 192.168.4.254: bytes=32 time=9ms TTL=64
Reply from 192.168.4.254: bytes=32 time=12ms TTL=64
Reply from 192.168.4.254: bytes=32 time=18ms TTL=64
Reply from 192.168.4.254: bytes=32 time=6ms TTL=64
Reply from 192.168.4.254: bytes=32 time=9ms TTL=64
Reply from 192.168.4.254: bytes=32 time=6ms TTL=64
Reply from 192.168.4.254: bytes=32 time=107ms TTL=64
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Request timed out.
Reply from 192.168.4.254: bytes=32 time=2592ms TTL=64
Reply from 192.168.4.254: bytes=32 time=2783ms TTL=64
Reply from 192.168.4.254: bytes=32 time=2563ms TTL=64
Reply from 192.168.4.254: bytes=32 time=2502ms TTL=64
Reply from 192.168.4.254: bytes=32 time=2572ms TTL=64
Reply from 192.168.4.254: bytes=32 time=2438ms TTL=64
Reply from 192.168.4.254: bytes=32 time=2524ms TTL=64
Reply from 192.168.4.254: bytes=32 time=2480ms TTL=64
Request timed out.
Reply from 192.168.4.254: bytes=32 time=2478ms TTL=64
Reply from 192.168.4.254: bytes=32 time=2370ms TTL=64
Reply from 192.168.4.254: bytes=32 time=2020ms TTL=64
Reply from 192.168.4.254: bytes=32 time=1885ms TTL=64
Reply from 192.168.4.254: bytes=32 time=1527ms TTL=64
Reply from 192.168.4.254: bytes=32 time=2060ms TTL=64
Reply from 192.168.4.254: bytes=32 time=2240ms TTL=64
Reply from 192.168.4.254: bytes=32 time=1691ms TTL=64
Reply from 192.168.4.254: bytes=32 time=1414ms TTL=64
Reply from 192.168.4.254: bytes=32 time=1346ms TTL=64
Reply from 192.168.4.254: bytes=32 time=1011ms TTL=64
Reply from 192.168.4.254: bytes=32 time=645ms TTL=64
Reply from 192.168.4.254: bytes=32 time=118ms TTL=64
Reply from 192.168.4.254: bytes=32 time=22ms TTL=64
Reply from 192.168.4.254: bytes=32 time=117ms TTL=64
Reply from 192.168.4.254: bytes=32 time=12ms TTL=64
Reply from 192.168.4.254: bytes=32 time=77ms TTL=64
Reply from 192.168.4.254: bytes=32 time=88ms TTL=64
Reply from 192.168.4.254: bytes=32 time=282ms TTL=64
Reply from 192.168.4.254: bytes=32 time=156ms TTL=64
Reply from 192.168.4.254: bytes=32 time=31ms TTL=64
Reply from 192.168.4.254: bytes=32 time=291ms TTL=64
Request timed out.
Request timed out.
Reply from 192.168.4.254: bytes=32 time=3605ms TTL=64
Request timed out.
Request timed out.
Request timed out.
Reply from 192.168.4.254: bytes=32 time=2582ms TTL=64
Reply from 192.168.4.254: bytes=32 time=2563ms TTL=64
Request timed out.
Reply from 192.168.4.254: bytes=32 time=2656ms TTL=64
Reply from 192.168.4.254: bytes=32 time=2598ms TTL=64
Request timed out.
Reply from 192.168.4.254: bytes=32 time=2351ms TTL=64
Reply from 192.168.4.254: bytes=32 time=2158ms TTL=64
Reply from 192.168.4.254: bytes=32 time=2209ms TTL=64
Request timed out.
Reply from 192.168.4.254: bytes=32 time=2586ms TTL=64
Reply from 192.168.4.254: bytes=32 time=2666ms TTL=64
Request timed out.
Reply from 192.168.4.254: bytes=32 time=2205ms TTL=64
Reply from 192.168.4.254: bytes=32 time=1420ms TTL=64
Reply from 192.168.4.254: bytes=32 time=780ms TTL=64
Reply from 192.168.4.254: bytes=32 time=734ms TTL=64
Reply from 192.168.4.254: bytes=32 time=929ms TTL=64
Reply from 192.168.4.254: bytes=32 time=553ms TTL=64
Reply from 192.168.4.254: bytes=32 time=287ms TTL=64
Reply from 192.168.4.254: bytes=32 time=180ms TTL=64
Reply from 192.168.4.254: bytes=32 time=107ms TTL=64
Reply from 192.168.4.254: bytes=32 time=346ms TTL=64
Reply from 192.168.4.254: bytes=32 time=361ms TTL=64
Reply from 192.168.4.254: bytes=32 time=35ms TTL=64
Reply from 192.168.4.254: bytes=32 time=32ms TTL=64
Reply from 192.168.4.254: bytes=32 time=94ms TTL=64
Reply from 192.168.4.254: bytes=32 time=9ms TTL=64
而以上Ping的现象具有一定的周期性，为什么会这样？
二、在以前也有使用Bt的，会话数有的达到1000多也没有出现上述问题。以上现象也就是这几天的事。

yucl_0 · 发表于 2008-6-23 17:10:07

oldjiang，你那个pplive协议，我的6.7版本没有呀，是不是你的版本有

nogain · 发表于 2008-6-23 17:12:25

以上的Ping我选的是比较糟的一段，好的时候，Ping延时也就在10左右。我们的是联想天工Ispirit4012三层核心交换机，路由器是华为2600系列，二层是千兆光纤接的联想天工Ispirit2924G交换机，三层是普通联想Ispirit2524s或联想Ispirit1024E或TP_link 1024交换机到户。

nogain · 发表于 2008-6-23 17:24:27

我的6.7版本有的。你的不会没有的。

oldjiang · 发表于 2008-6-23 17:48:11

没错，即便是下载把带宽用尽，ping网关也不应该有这么大的延时。网关什么型号？
在论坛搜索“ping网关延时大”，参考：
http://www.csna.cn/forum.php?mod=viewthread&tid=8085、
http://www.csna.cn/forum.php?mod=viewthread&tid=2284、
http://www.csna.cn/forum.php?mod=viewthread&tid=3065

你的帖子http://www.csna.cn/forum.php?mod=viewthread&tid=9413，流量还是比较大的

linminwww · 发表于 2008-6-23 17:54:25

你们校园网不会只有一个vlan吧
我想你应该抓到全部的包.
查看一下router CPU占用率.
检察一下物理链路.
用区域隔离法看看
首先用一台电脑单独接ROUTER 看正常不
然后接一个交换机测试看正常不
这样来排除抓到如果插上那吧交换机不正常了那就证明那吧交换机上以流量有问题哦.
虽然比较笨但也是最有效的吧
在下愚见还请指点.

oldjiang · 发表于 2008-6-23 18:05:05

192.168.4.254只是192.168.4.0这个vlan的网关，是吗？
其他vlan ping各自的网关有这样的延时、丢包吗？
ping路由器呢？

nogain · 发表于 2008-6-23 20:16:50

我校的网关是三层核心交换机联想天开Ispirit4012，共划分了六个Vlan：
阅览室一个Vlan（192.168.3.0）
二个机房二个Vlan（192.168.1.0，192.168.5.0）
网络中心和西家属区一个Vlan（192.168.2.0）
东家属区一个Vlan（192.168.4.0）
路由器独处一个Vlan（192.168.100.0）。
东（百兆光纤）西（千兆光纤）家属区均用光纤与网络中心核心交换机相连，一直用的都挺好的，就是最近的事儿。
而这次出问题时的一个奇怪表现时：当东家属性Ping断时，西家属区Ping也断，此时路由器的CPU利率用约35％左右。

oldjiang · 发表于 2008-6-23 21:34:43

你的帖子http://www.csna.cn/forum.php?mod=viewthread&tid=9413，东区vlan的网关00:04:E2:54:38:74所发的405个arp应答包中，目标为00:16:96:0E:04:CA的占了381个，为什么这个地址特别多呢？约0.1秒一个，也算密集，又没有请求包，也许被冲掉了。
像4#那样ping，抓包，看看应答是否都是来自00:04:E2:54:38:74呢？没辙了，想到什么就说什么。
还是要抓一个双向的包。
赞同9#说的，应该抓一个全部vlan的包。

[ 本帖最后由 oldjiang 于 2008-6-24 08:21 编辑 ]

请大家看看我抓的同步数据包，分析有什么问题？

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源