电脑公司频繁掉线,郁闷!!!

锋行

自己所在公司的网络最近频繁掉线,特发科来抓下来的数据包,请坛里的高手们赐教一下,先谢过了,呵呵,拓扑连接方式

PC群----交换机---路由器----防火墙-----adsl猫

oldjiang

1、没有正确部署，交换机、路由器是什么型号，支持端口镜像吗？部署参考http://www.csna.cn/forum.php?mod=viewthread&tid=355
2、00:05:BA:01:90:89/192.168.0.119的arp应答包是广播包，而且没有对这个IP的请求包，这个有点奇怪
3、唯一的单播包，192.168.3.1是什么地址？

锋行

是我前面没有说明清楚,上面的拓扑连接,是在我部署科来之前,就是想让大家知道公司的连接方式,后面部署是在交换机前面加一个集线器,集线器后面再连接了一个路由器,再连接防火墙,防火墙是用来作vpn的,呵呵,希望大家多多赐教哦

oldjiang

交换机--hub--路由器，科来接hub，这样部署是正确的，请再次抓包，时间长一点，以不超缓存为限。

锋行

刚刚又断网了,55555555555555

oldjiang

从5#的包没看出任何问题

锋行

不好意思,偶使用了最土的办法,把一根闪得比较厉害的网线拔了,等等去查一下,拔了以后,好像网络又正常了一些,还在测试中,中午我值班,查完再把网线插上去,再用科来抓包,谢谢版主的热心支持,

oldjiang

00:05:BA:01:90:89/192.168.0.119 的arp应答包，广播，无请求，半分钟一个，有规律

锋行

这个是在中午刚吃完饭抓的包,杀了好几台电脑,都中毒了,现在还在杀,IP为119的,我还没有找到呢,正在找,为什么诊断里的错误那么多啊,我用本本当独接防火墙,也会有很多错误啊

锋行

啊,终于知道了,IP为119的是硬盘式监控机器,在公司转一圈,总共就几台电脑,都没有这个IP地址,现在才知道啊,版主这个设备不会中毒吧,中午人都下班了,好像都不会掉线了,可怕的是上班的时候,又掉线,我又要开始忙起来了,哎,正在学习ing...

[ 本帖最后由 锋行 于 2008-6-25 14:36 编辑 ]

oldjiang

这个包也没问题。
关于错误：
1、HTTP服务器慢响应，CSNA论坛有时候响应是慢一点
2、TCP数据包校验和错误，这个正常，参考http://www.csna.cn/forum.php?mod=viewthread&tid=9234
3、ICMP端口不可达，没有开放137端口，可能做了地址解析操作
4、ARP扫描，是运行了mac地址扫描器

oldjiang

这个不像是病毒，我猜跟监控机器的工作原理、方式有关，他应该是个中心节点，通过定时发包，告诉监控系统的其他机器或程序“我在哪”

锋行

杀了一个中午的病毒,现在终于消停啦,看来还是病毒引起的,不过由于工作原因,迅雷下载是免不了的,看来还是要另外牵专线,不然一下载公司可能又要断网咯,还没有找到防火墙有限速的设置,找到可以试试看限速能不能解决了,

oldjiang

病毒造成断网，一是伪造网关，二是大量发包堵塞网络。关于流量分析，参考http://www.csna.cn/forum.php?mod=viewthread&tid=7974、http://www.csna.cn/forum.php?mod=viewthread&tid=8854

wastebaby

这个挺奇怪的,如果是病毒,为什么不会引起大流量而断网呢,象楼主这种情况的确从抓包上看不出问题,就象我最近遇到的一个问题,汗,网关每隔几次断下网用PING看是destination  net runreachable  可是过了三五秒就恢复了,还没碰到这种情况,头也比较大,重点查了十几台机子无果,可是过了几天又恢复了,也不知道哪天还会出问题,如果真是病毒,那真比较头大.


初步估计我也认为是有病毒.

[ 本帖最后由 wastebaby 于 2008-6-26 08:18 编辑 ]

zhaojunling

原帖由 wastebaby 于 2008-6-26 08:16 发表
这个挺奇怪的,如果是病毒,为什么不会引起大流量而断网呢,象楼主这种情况的确从抓包上看不出问题,就象我最近遇到的一个问题,汗,网关每隔几次断下网用PING看是destination  net runreachable  可是过了三五秒就恢复了, ...

病毒。

糊涂

原帖由 oldjiang 于 2008-6-25 10:55 发表
1、没有正确部署，交换机、路由器是什么型号，支持端口镜像吗？部署参考http://www.csna.cn/forum.php?mod=viewthread&tid=355
2、00:05:BA:01:90:89/192.168.0.119的arp应答包是广播包，而且没有对这个IP的请求包，这个有点奇 ...

那叫免费ARP

锋行

哈哈,经过那天的杀毒操作,找到几台电脑中毒比较严重的机子,杀了一下毒,至经就断网两次,而且时间间隔比较长,也肯定这两次跟病毒比较有关,;因为公司人多比较杂,所以控制起来比较困难,哎,没办法.

只是一个神话

如果是病毒引起的,一般有两种情况,一种是ARP欺骗攻击,会造成断网,我看了你的数据包没有此现象.一种是攻击网络使其工作不稳定造成的,类似开了BT占用了大量的带宽.一般出现后面的情况时在使用PING的时候延迟会比较高.

另外也有可能是硬件上引起的,可以测一下几台设备之间的线路是否正常.多看看防火墙日志.
还有网络设备不是越多越好,多了数据包的传输速度就会有所影响,而且增加网络排错难度,像你的网络中的路由器就可以不用,当然前提是防火墙提供路由功能.防火墙设置上可以根据需求做的严格一点,这样也可以有效防止来自外网和内网的人为或病毒的攻击.

PS:问题要解决,但是解决后不要忘了找原因,如果是病毒引起的那就要找到是什么病毒,上网找一下该病毒的相关信息.这些都可以成为你的工作经验,也就是你涨工资最有用的东西

[ 本帖最后由 只是一个神话 于 2008-7-1 19:01 编辑 ]

锋行

PS:问题要解决,但是解决后不要忘了找原因,如果是病毒引起的那就要找到是什么病毒,上网找一下该病毒的相关信息.这些都可以成为你的工作经验,也就是你涨工资最有用的东西

哎,当时都没有想那么多啊,只是想把问题解决,原因就是公司机子配置低,大多数没有安装安全软件,简单的安装360安全卫士,补丁也没有打,一上网就没有办法了,病毒那叫一个猛啊,晕死,不过现在我在公司的网件防火墙里封了端口,限制端口之类的,定期找那几台最容易中毒的机子杀杀毒,初步有些效果了,断网次数变少了,网络也正常了许多,在这是还是要感谢论坛里的朋友热心帮忙,帮助一起解决问题,希望自己和论坛一起成长,呵呵,楼上说的有道理,我会努力的,不好意思,这么久才重新看到这张贴,疏忽了.

oldjiang

中毒很难避免，如果交换机支持端口隔离，就能有效防止病毒传播。

yong85215

我怎么打不开下载的文件呀？、、？

cfgongming

ADSL猫?出口太少了吧

ftmm123

楼上的难道都不知道,adsl有线程限制的,例如限制连接为5000,那么如果有多人用迅雷,那么就会占用所有通道,其他人当然上不了网了.

snowhite

这种情况,你要先ping一下内网的机器,是否也存在掉线的情况,分清是交换机还是路由器阻塞.

mjxghost

学习中..............

wahaha

问25# snowwhite
PING完内网之后，如果是交换机阻塞如何处理？如果是路由器阻塞又如何处理呢？
我是新手，问题比较傻。