让人发疯的Request

lovehuhu · 发表于 2008-9-24 13:46:56

LZ 你新传的包，没有VM的网卡MAC.

不知楼主网络的问题解决没有，也不知楼主是不是想解决问题，更不知楼主是不是自己想和我们开个玩笑（自己发包，自己再抓包)

oldjiang · 发表于 2008-9-24 13:54:19

广播，是所有机器都收到并处理的
如果交换机支持，你可以划分VLAN，每个宿舍一个，可以隔离广播
查看mac地址表，得到交换机接口，拔线，不用你跑寝室

lovehuhu · 发表于 2008-9-24 14:29:39

我有个问题，楼主说交换机的灯都在狂闪，但从科来上看，流量主要来源于00:1D:0F:87:54:F0、00:1D:0F:4C:0F:EC这两个地方，请问，当带宽都几乎都被耗尽的情况下，从交换机上看，怎会看不出问题。就算是由于广播风暴，引起了整个交换机的灯都在狂闪，既然都断线了，那么楼主难道就不能把交换机重启一次，重启过后，交换机就可以告诉你是谁在不停的发广播包，是谁的流量最大。

oldjiang · 发表于 2008-9-24 14:32:34

广播包是会发到（一个vlan）所有的交换机端口的吧

royallin · 发表于 2008-9-24 14:39:37

原帖由 yizi712 于 2008-9-24 12:57 发表
主机向网关发送大量的arp请求包，但不攻击网关，该如何查封？

--------------------------------------------------------------------------------
如题，我们的一台cisco3560G交换机，通过划分不同的vlan接入 ...

越说越神乎，插上网线CPU就上100%？
什么样的量才能让现在的CPU上100%？

跟上面说的，先重启交换机，再观察那条线路在狂发数据。

lovehuhu · 发表于 2008-9-24 14:43:53

原帖由 yizi712 于 2008-9-24 12:43 发表
如此多的ARP数据包请求（其中没有一个回应数据包），应该不可能是因为IP“IP设置错误”（冲突）造成的。
还有就是“看谁在玩VM”，我们这里有15x7,这么多寝室，不可能跑到每个寝室，每台电脑去看看有谁在玩VM。
我 ...

科来是很好，科来在网络中，就向我们的眼睛和耳朵，但是楼主，请不要忘记，数据包是可以自己编造的，数据是可以骗人的，数据只能是我们参考的依据，正真判断下结论，需要结合实际

lovehuhu · 发表于 2008-9-24 14:49:26

原帖由 oldjiang 于 2008-9-24 14:32 发表
广播包是会发到（一个vlan）所有的交换机端口的吧

同意，但是重启交换机后，交换机会初始化，但是有问题的PC还再发包，在重启交换机后的那几十秒到几分钟的时间里，在狂闪的端口当然就成了最大的嫌犯

royallin · 发表于 2008-9-24 15:13:09

看看是不是存在双网关，以前在学校的时候就试过，把自己机器MAC改成网关的MAC，结果，整层楼网络瘫痪。

lovehuhu · 发表于 2008-9-24 15:17:12

原帖由 royallin 于 2008-9-24 15:13 发表
看看是不是存在双网关，以前在学校的时候就试过，把自己机器MAC改成网关的MAC，结果，整层楼网络瘫痪。

不会的，你说的只是ARP欺骗的一种情况。

alizhu · 发表于 2008-9-24 16:51:56

原帖由 yizi712 于 2008-9-24 12:43 发表
如此多的ARP数据包请求（其中没有一个回应数据包），应该不可能是因为IP“IP设置错误”（冲突）造成的。
还有就是“看谁在玩VM”，我们这里有15x7,这么多寝室，不可能跑到每个寝室，每台电脑去看看有谁在玩VM。
我 ...

有道理，如果网络里有人恶意用VM来搞破坏，因为他的MAC是虚拟出来的，就算是你有网络里的IP-MAC对照表都没有用！
因为那MAC本来就不存在！这时候网管该怎么办！

路由器里有一项功能是绑定IP-MAC，并且不充许有动态的ARP表，no arp dynamic ,这样虚拟出来的IP-MAC就不能上网了，
可是，虽然它不能上网，但他还是能进行ARP功击！我还有一个问题就是，在科来，怎么能够将IP与MAC对应，
就是知道了这个IP怎么查看他的MAC，或是知道MAC怎么查看他的IP？？？

yizi712 · 发表于 2008-9-24 16:59:25

我上传上来的包是以前传上来的那个，是
参考http://www.csna.cn/forum.php?mod=viewthread&tid=7914 用科来网络分析系统监控广播风暴
是已经了添加了过滤器的
截获的数据文件

oldjiang · 发表于 2008-9-24 17:11:45

抓多少次包，结果都是一样的
你就不能登陆交换机看一下mac地址表吗，交换机什么型号？
这个网络基本跑不动了吧，感觉你一点都不急

yizi712 · 发表于 2008-9-24 17:12:20

下面这个文件是我刚刚抓取的，没有使用任何过滤器，大家看看吧~~！

yizi712 · 发表于 2008-9-24 17:19:40

这里不好意思，是我表述错误，我的意思是说，正常使用电脑（就是开了一些应用程序的情况下）CPU，会达到这个值。不过在没有开任何程序的情况下，本地网卡会被占用7%，还有CPU时不时会跳到25%左右

yizi712 · 发表于 2008-9-24 17:22:45

这个建议可以去尝试一下，希望我网络的问题可以尽快得到解决，谢谢各位了

yizi712 · 发表于 2008-9-24 17:34:55

“一点都不急”这个嘛~~~！版主说对了，因为我只是使用这个网络的普通的一员而已，没有去碰交换机的权限

，至于网络瘫痪嘛，目前倒还不至于。只是自己的电脑用起来很不爽，经常当机，感觉有点不对劲，所以就用科来软件来抓了包看了看。自己第一次使用这个软件，所以也看不出个所以然来，为了学习使用这个软件，也为了解决我的网络问题吧，所以就发上来请教大家了

yizi712 · 发表于 2008-9-24 17:51:00

看看这两张截图

yizi712 · 发表于 2008-9-24 17:56:52

用科来软件
在数据包选项下面看这里

oldjiang · 发表于 2008-9-24 18:11:18

贴一个网卡状态的图，看看发送和接收，如下图。隔5分钟，截两个图贴上来

[ 本帖最后由 oldjiang 于 2008-9-24 18:12 编辑 ]

yizi712 · 发表于 2008-9-24 18:43:16

五分钟之后

yizi712 · 发表于 2008-9-24 18:46:08

我刚刚去问了
我这里用的交换机是思科2960系列交换机
应该可以通过查看端口流量就可以知道ARP请求包到底是哪里发出来的

[ 本帖最后由 yizi712 于 2008-9-24 18:47 编辑 ]

oldjiang · 发表于 2008-9-24 19:33:46

怎么还有ADSL拨号连接？
那两个地址此时应该没有发包，如果发的话，每秒1.5万个，本地连接收的包会很多
2960，可以看mac地址表，找到端口，shutdown，PG都不用离开座位，这才叫管理

yizi712 · 发表于 2008-9-24 20:03:09

这只是一个宽带连接而已（重命名ADSL）
不是此时没有发包，你看看一分钟内的这两张截图吧

oldjiang · 发表于 2008-9-24 20:28:21

抓包的时候，工程设置--网络适配器，选的是哪个网卡？是本地连接还是宽带连接？宽带连接是做什么用的？

yizi712 · 发表于 2008-9-24 20:55:58

我选的是本地网卡适配器，只有这一个，宽带连接是用来登陆——在网络上注册我的计算机用的，注册了之后还需要运行“Dr.COM 宽带认证客户端”才可以连上网

royallin · 发表于 2008-9-24 23:03:08

原帖由 yizi712 于 2008-9-24 20:55 发表
我选的是本地网卡适配器，只有这一个，宽带连接是用来登陆——在网络上注册我的计算机用的，注册了之后还需要运行“Dr.COM 宽带认证客户端”才可以连上网

原帖由 yizi712 于 2008-9-19 22:33 发表
请各位高手来帮帮忙分析一下这是什么原因造成的，我该如何去解决呢~~！先在这谢过各位热情相助的朋友了
我这里使用的是宽带拨号，用Dr.COM 宽带认证客户端软件上网
下面是我使用科来网络分析系统截获的一些数据图片 ...

现在才看到楼主1楼说的是要拨号的。PPPOE协议下应该是没有ARP的。你跟外界到底是这么连接的呢。还是说你现在所处的网络拓扑结构吧。

原帖由 yizi712 于 2008-9-21 00:40 发表
我这里的网络拓扑是：200M光纤进来一个中心交换机，下面接有3个24口和3个48口二层交换机（都是用光纤连接的），下面就是用双绞线分下去，接的8口交换机；
上面这些数据我是在8口交换机下的客户机中截获的

原帖由 yizi712 于 2008-9-24 18:46 发表
我刚刚去问了
我这里用的交换机是思科2960系列交换机
应该可以通过查看端口流量就可以知道ARP请求包到底是哪里发出来的

你那个8口交换机应该不是CISCO的2960系列的，还有楼主你说下你是这么部署克莱的？数据是在你的8口交换机的镜像端口（怀疑你的交换机有没有这个功能）还是在你的交换机上层接入一个HUB抓来的？

我现在大胆的假设一下，问题就是出在你宿舍里。。。。。。。。。

oldjiang · 发表于 2008-9-25 08:27:26

原帖由 yizi712 于 2008-9-21 00:40 发表
我这里的网络拓扑是：200M光纤进来一个中心交换机，下面接有3个24口和3个48口二层交换机（都是用光纤连接的），下面就是用双绞线分下去，接的8口交换机；
上面这些数据我是在8口交换机下的客户机中截获的

6#描述了拓扑
还有一个办法可以解决楼主的问题，在交换机上做端口隔离，即protected port
24/48口的是二级交换机，除了上联中心交换机的那个端口，其他端口都做隔离
中心交换机接二级交换机的6个口，也做隔离
这样你就不会收到广播包了
但是接在中心交换机上的路由器可能还是会收到，没有验证过

oldjiang · 发表于 2008-9-25 09:14:21

这个帖子讨论热烈，给yizi712、royallin、wastebaby、lovehuhu加分鼓励

lovehuhu · 发表于 2008-9-25 10:41:33

谢谢oldjiang！！

yizi712 · 发表于 2008-9-25 15:18:57

谢谢oldjiang

让人发疯的Request

回复 30# 的帖子

回复 33# 的帖子

评分

回复 31# 的帖子

本帖子中包含更多资源

回复 35# 的帖子

回复 37# 的帖子

回复 42# 的帖子

本帖子中包含更多资源

回复 40# 的帖子

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

回复 50# 的帖子

回复 52# 的帖子

本帖子中包含更多资源

回复 53# 的帖子

回复 54# 的帖子

评分