请高手帮我分析为何网络时断时续

katewzs

请教各位大虾:
        我们这里是由40多台机器组成的局域网.近段时间来,上网时经常出现网络时断时续,
部分机器能够正常上网,而大部分机器经常性掉线.网关10.46.255.1
当机器无法上网时
arp -a,有时显示10.46.255.1 00-00-00-00-00-00  invalid
有时显示 no arp entrys found
或者有时显示的是其他机器的ip及mac地址.
我用sniffer软件和科来网络分析抓了些包.
          我们的设备不是太好,一台主交换机(呵呵,是傻瓜型的,没有办法做端口镜像)
上连出口,其下带了3台交换机(也是不可管理的),组成一个局域网上网,
于我门的硬件不支持而没有办法抓到其他数据,只有广播包和组播包,
再有就是本机的上网情况,所以现在请各位高手能够不吝赐教,
在我们仅有的可怜条件下,帮帮我!!!解决一下我的难题,在此多谢了!!!
请各位高手帮忙分析一下看是否有arp欺骗,还是哪台机器有病毒?
或者是哪台机器在捣乱??帮我们解决目前的燃眉之急,谢谢了!!!!
本机连接在主交换机下!本机ip:10.46.255.62

[ 本帖最后由 katewzs 于 2006-8-21 16:23 编辑 ]

artico

能不能退出为通用格式CAP

wwwang

10.46.255.63这台电脑是干嘛?广播流量比较大!

katewzs

原帖由 artico 于 2006-8-17 16:52 发表
能不能退出为通用格式CAP

打不开吗?
???
10.46.255.63是子网的广播地址.我们这里的子网掩码255.255.255.192

katewzs

这是刚才抓的包,中间忽然吊线了,一能上网我就停止抓包.请帮我分析一下,为什么断线?这里先谢了!!

zmc837

我这台机没安装sniffer 不能帮你分析，不过我这里的网络前天也出现这样的问题，是一个光收发器坏了，你检查一下，是不是硬件故障引起

katewzs

原帖由 zmc837 于 2006-8-17 19:53 发表
我这台机没安装sniffer 不能帮你分析，不过我这里的网络前天也出现这样的问题，是一个光收发器坏了，你检查一下，是不是硬件故障引起

首先表示感谢你的发言,
我们只有几台交换机,没有光收发.
我16和17日的包都是用科来软件抓的包,能看一下断线是怎么回事吗?
请教各位大虾了!

flyy1999

兄弟哦，我看了下，你们那是什么机器啊，说的不对别怪我哦，我觉得你的网络正常，没有受到ARP攻击，也没有病毒，主要的可能是有人在用BT之类的下载就会占用网络资源，也会产生下面的情况，而且你们好象很多人都在线看FLASH很可能是带宽不够，还有你可以买个好点的路由器看看具体的情况

katewzs

原帖由 flyy1999 于 2006-8-18 16:16 发表
兄弟哦，我看了下，你们那是什么机器啊，说的不对别怪我哦，我觉得你的网络正常，没有受到ARP攻击，也没有病毒，主要的可能是有人在用BT之类的下载就会占用网络资源，也会产生下面的情况，而且你们好象很多人都在 ...

多谢兄弟!怎么会怨你呢?咱们讨论问题,大家各抒己见,共同提高!你认为BT会造成网络时断时续的现象吗?我想他只会导致网速慢一点吧?
而且当上不去网时,arp -a结果是no arp entries found,我想还是应该和病毒有关!!!你说呢??再请帮我分析分析!!

[ 本帖最后由 katewzs 于 2006-8-21 15:43 编辑 ]

katewzs

斑竹及各位大虾:帮帮忙,分析分析吧!!

菜青虫

在LZ的部署环境下，抓取的各个数据包中没有看出有ARP攻击的迹象，由于你是在本机抓的包，故只能看到很多ARP请求广播包和一些NETBIOS的一些广播包，所以抓取的数据包广播流量很大。

还是要抓取所的数据包才好分析啊，请LZ参见置顶的安装部署帖，在非管理的交换下的部署情况！

[ 本帖最后由 菜青虫 于 2006-8-21 16:28 编辑 ]

katewzs

这张图片上显示arp请求中ip地址为10.46.255.17的机器总是咨询他自己的机器是什么意思?

katewzs

诊断事件里出现
名称                     计数
TCP重复的连接尝试          4,957
诊断里出现过多的TCP重复的连接尝试 ,正常吗?名称                 计数
诊断事件里出现
TCP连接被复位          227
名称                计数
TCP窗口过小          140
名称               计数
TCP端口扫描           6
名称                     计数
HTTP服务器慢响应          5,289

名称                 计数
HTTP服务器出错          15

这些是怎么回事?能解释一下吗?

[ 本帖最后由 katewzs 于 2006-8-22 10:15 编辑 ]

菜鸟人飞

出现你讲的这种情况，一般情况是某台主机通过ARP广播查询网络中是否存在和自己相同IP的机器。

比较容易出现这种情况的是使用DHCP自动获得IP的过程。
客户端首先向DHCP服务器申请IP，DHCP服务器分配一个IP给客户端，客户端这时会向全网广播一个ARP包，以查询网络中是否存在和自己IP相同的机器，如果不存在，则使用此IP。

katewzs

原帖由 菜鸟人飞 于 2006-8-22 09:24 发表
出现你讲的这种情况，一般情况是某台主机通过ARP广播查询网络中是否存在和自己相同IP的机器。

比较容易出现这种情况的是使用DHCP自动获得IP的过程。
客户端首先向DHCP服务器申请IP，DHCP服务器分配一个IP给客 ...

但是我们这里都是用固定IP上网的,那他为什么还要咨询呢?

菜鸟人飞

DHCP我只是举的一个例，网络中的其它某些应用也可能出现这种情况的。

katewzs

敬礼!明白!