今天再上来发一个新帖

hanvey126

记得上次关于我网吧奇怪的掉线现象，续重通过一周的测试观察跟排除！
具体如下：断网的时候，ping内外网正常，主交换机正常，路由正常，但是上不到网，QQ还可以正常上网。然后做测试。
首先断开路由与主交换机的网线，拿一台单机直接接路由，仍然无法上网，情况同局域网一样的情况。然后断开路由WAN口的网
线，意思直接外网接单机，用外网IP上网，一切正常！再把网线插到路由上，单机接路由，仍然无法上网。重启路由器，正常！
至此，小弟做出如下推断：1，路由器坏了。2，内网被攻击，但是非ARP。
首先，更换路由器，仍然出现同样的问题，故排除路由问题。然后，唯一目标锁定内网攻击路由！
  因此我想问一下各位高手，怎么样可以查到内网的攻击，我用ARP检测软件，根本检测不到ARP。在路由里查看流量，显示的确实正常。
因此小弟无解了。请高手指点！！！

oldjiang

1、用solarwinds的snmp graph观察路由器的流量和利用率了吗？如果内网或外网有攻击，我觉得流量和利用率应该有所反映。
2、如果是内网攻击路由，“断开路由与主交换机的网线，单机接路由，仍然无法上网”，就不对了。此时内网已经与路由断开，何来攻击呢？你的意思是此前的攻击已经导致路由死机了？
3、“再把网线插到路由上，单机接路由”，此时单机改回内网ip了吗？能ping通路由的lan、wan、ISP地址吗？
4、会不会是来自外网的攻击呢？因为不能上网的时候ping内网是正常的（见以前的帖子）。我见电信的人查线路，他们也是用科来，单机接外网，判断有无攻击。

只是一个神话

内网正常,路由正常.

PING了这么多,为什么不PING外网呢?网络结构是什么样的?外面有墙吗?或是路由器带一些普通的防护功能?比如:禁止PING等.

hanvey126

排除是外网攻击的可能，因为单机接外网不通过路由是正常的，有攻击的话也应该上不到网。
“再把网线插到路由上，单机接路由”，肯定是改回内网的IP等。ping网关，外网，内网都通，还是上不到网！！！路由此时并没有死机，只是WAN口的流量为0！CPU，内存等使用率都跟正常时一样！

hanvey126

请问一下斑竹，科来可以监控410个IP吗？有的话，我该怎么做才可以获得？急啊，快被老板叼死了，又不会用SNIFER！

l6b6l6

QQ可以上，网页打不开，估计是DNS问题。PING一下DNS看正常么？另外，请检查一下路由器的路由是否正确。

数据我来抓

根据楼主所言，来看几个方面的问题：
1、楼主说的“路由正常，但是上不到网，QQ还可以正常上网。” ，我可以理解为无法正常访问网页，但可以上QQ 是不是？
如果是这样的话，这说明数据包可以经过路由设备并NAT出去和目的地址建立连接，由此可以判断设备、路由应该没有问题，可以正常实现数据转发。 既然问题是访问不了网页，那么楼主客户端计算机上的DNS设置的是什么？ 使用 nslookup命令测试过是否能够正常解析域名不？

2、楼主说的“再把网线插到路由上，单机接路由，仍然无法上网。重启路由器，正常！” 这个问题我个人看并非路由器的问题。之所以需要重启路由器才正常，问题在于你先用PC连接过电信网关，然后把网线接在了路由器上，此时电信网关并未更新arp表，既然没学习到，那么肯定不通，重启路由器后对端网关学习到后当然就正常了。

3、“用ARP检测软件，根本检测不到ARP。在路由里查看流量，显示的确实正常。” ，既然楼主判定流量是正常的，那么剥开流量问题我觉得设备应该是正常的，关键可能在于你的路由器设置，不知道你用的什么路由器，可以考虑关闭DNS代理，客户端直接设置ISP提供的DNS服务器地址试试，你的客户端该不会用的路由器内网地址作为的DNS服务器地址吧......

oldjiang

第二点说的很好，但解释不了“首先断开路由与主交换机的网线，拿一台单机直接接路由，仍然无法上网，情况同局域网一样的情况”。