CSNA网络分析论坛»首页 流量分析 网络分析 网吧卡机
返回列表 发帖
查看: 6557|回复: 28

网吧卡机

[复制链接]
xiaoliu0x0
发表于 2008-10-14 00:42:12 | 显示全部楼层 |阅读模式
网吧现在用192.168.0.* (亦是用0段网络)
处于局域网 网吧卡机 好卡 但是我真的束手无策 希望前辈赐教  谢谢!
现象为:ping  本地DNS 网吧网关 正常 亦表示网络处于正常状态!但当我用参数路由网吧到网站亦或者外网 亦表现网络不正常
Tracert  www.qq.com      懂得这个参数的人都知道这是什么意思!
这是路由到腾讯网站的路径:
  第一行 一般是 内网网关 再者本地DNS****后到了腾讯网站 中间的路径大致可以略过!
我到外地网吧 亦别的网站都很正常 亦只有我所在的网吧 Tracert  www.qq.com
出现 time out 一直到最后一行才出现腾讯的网站IP 请前辈指示
我想过换网段 网关IP 交换设备 但是我所说的只是较为笨拙的做法  有捷径吗 亦或许是分析系统可以分析出来吗?
谢谢[localimg=368,300]1[/localimg]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

xiaoliu0x0
 楼主| 发表于 2008-10-14 00:48:10 | 显示全部楼层
我用其他协议分析软件 只能看流量大小 亦或者是发包量  网吧用的路由器
路由器防火墙策略 到初始化 所以不存在防火墙规则所致
电信测试机房到网吧线路测试
机房看网吧速度 急速下降 降至到0
网吧速度幅度很大  
后来电线来网吧测试速度亦很正常
网吧用100M 光纤 理论是10MBit/s
测试多次 速度迅雷下载速度达到9M/S
直接下载速度很不恒定
我想究竟是内网引起网络卡 还是外网引起?
这个问题困扰我几个月时间 希望资历深的前辈给我指导 谢谢 是主干交换设备 或者?
没有软件分析的状态下  只能物理设备的更换 替换法解决此类问题  谢谢 请赐教一下
回复

使用道具 举报

xiaoliu0x0
 楼主| 发表于 2008-10-14 00:50:04 | 显示全部楼层
第一张为Tracert 本地DNS图片
回复

使用道具 举报

xiaoliu0x0
 楼主| 发表于 2008-10-14 00:52:58 | 显示全部楼层
最新截图   是我现在的截图 在别的网吧 都很正常

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

oldjiang
发表于 2008-10-14 09:13:22 | 显示全部楼层
我tracert正常

先开启科来后tracert,ICMP协议66个包(11跳,每跳3个请求3个应答共6个包)

三种包的ICMP类型分别是



我估计你的路由器屏蔽了ICMP类型为11的包
参考:http://www.csna.cn/forum.php?mod=viewthread&tid=6384 ICMP简析

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

oldjiang
发表于 2008-10-14 09:17:48 | 显示全部楼层
我觉得卡跟这个没有关系
卡的时候用科来抓包看看
要正确部署(比如端口镜像)
如果你要上传科来抓的包,最好也描述一下拓扑、设备型号、主要的系统
回复

使用道具 举报

liuheliuxi
发表于 2008-10-14 09:46:45 | 显示全部楼层
安装科来抓包吧,这么说不能分析出问题的
回复

使用道具 举报

xiaoliu0x0
 楼主| 发表于 2008-10-14 13:37:49 | 显示全部楼层
谢谢版主的回答

我上传路由器的防火墙策略
请过目  我可以初始化防火墙策略!
我网吧卡机  我很想了解网吧卡机  我这里没有镜像端口的交换机
我想直接用一台电脑接主干交换机 请问这样可以吗?谢谢
倘若是网络风暴 我该怎么分析?
我只知道 如果网络风暴 肯定是卡的要死 进不了系统
我将网吧的网络拓扑结构简要说一下:

光纤->路由器->主干交换机->分交换机(6个)
网吧游戏服务器3个 收费机一个  监控机一个 路由器一个
网吧游戏服务器 监控机 都接主干交换机  
收费机接二级交换机(和工作站处于同一层交换)
内网为千兆内网 无盘网络 NXD 正版系统
请版主帮忙一下!
SNIFFER PRO  我也分析一下  但是我分析不出来原因!
我只会看发包量  但是奇怪的是 机器都关闭了 还在发包?
真不明白刷新时间是多长?
楼主 请问  网络风暴的现象为:
如果是病毒有这个病毒吗?
我将工作站的流量都限速了  流量我都可以看到!
我想知道如果是主干交换机设备口子坏了 那会有怎么样的症状  谢谢!
科来系统分析!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

oldjiang
发表于 2008-10-14 19:02:57 | 显示全部楼层
1、路由器和主干交换机的具体型号?要上厂商网站看看手册是否支持端口镜像。
2、“直接用一台电脑接主干交换机”,可以,但如果不是镜像端口,也只能抓广播包。
3、参考http://www.csna.cn/forum.php?mod=viewthread&tid=7914 用科来网络分析系统监控广播风暴,这个不用做镜像。
4、病毒经常大量发包
5、“主干交换机设备口子坏了”,这个可能科来发现不了

不管能不能做镜像,你还是抓个包传上来看看吧
大家帮你分析的过程中,可能还要多次抓包
回复

使用道具 举报

xiaoliu0x0
 楼主| 发表于 2008-10-14 22:11:38 | 显示全部楼层
谢谢回复  抓图上来了
回复

使用道具 举报

oldjiang
发表于 2008-10-14 22:34:19 | 显示全部楼层
图效果有限,还是上传数据包。
参考http://www.csna.cn/forum.php?mod=viewthread&tid=9417的10#分卷压缩上传
回复

使用道具 举报

xiaoliu0x0
 楼主| 发表于 2008-10-14 22:50:40 | 显示全部楼层
请版主给我QQ   呵呵
回复

使用道具 举报

xiaoliu0x0
 楼主| 发表于 2008-10-14 22:52:54 | 显示全部楼层
我想传用科来分析软件保存的文件给你们分析 可惜我传不上来
两个附件  刚抓的

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

oldjiang
发表于 2008-10-14 23:25:47 | 显示全部楼层
两个工程文件都没有正确部署,参考http://www.csna.cn/forum.php?mod=viewthread&tid=9417的3#
第一个工程文件,网关的ARP包,谁是 1.1.1.1? 告诉 192.168.0.1,这个1.1.1.1是谁?
第二个工程文件,抓包的机器有数百个连接,在P2P或视频?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

oldjiang
发表于 2008-10-14 23:26:36 | 显示全部楼层
原帖由 xiaoliu0x0 于 2008-10-14 22:52 发表
我想传用科来分析软件保存的文件给你们分析 可惜我传不上来
两个附件  刚抓的

分卷压缩可以传的
回复

使用道具 举报

oldjiang
发表于 2008-10-14 23:27:33 | 显示全部楼层
路由器和主干交换机的具体型号?帮你看看如何部署
回复

使用道具 举报

xiaoliu0x0
 楼主| 发表于 2008-10-15 00:21:11 | 显示全部楼层
恩  谢谢版主  能帮我  名字为:
路由器:磊科2805NR
主干交换机:华为Quid way S1224 24口 交换机

二级交换机:TP-LINK TL-SG1024(纯千兆交换机)24口
工作站网卡 TP-LINK 3269千兆网卡 8169芯片
网吧拓扑:光纤->磊科2805NR 路由器->华为Quid way S1224 24口 交换机->TP-LINK TL-SG1024(纯千兆交换机)24口
(6个)->工作站
文件服务器3个 NXD LINUX 5.8 电影服务器2003企业编辑版 192.168.0.249/252/251 16位子网掩码
CS服务器 也是2003企业编辑版 192.168.0.201/16
监控机IP:192.168.0.206
整个网吧就这样
收费机 也是2003企业编辑版 IP:192.168.0.208
回复

使用道具 举报

xiaoliu0x0
 楼主| 发表于 2008-10-15 00:22:50 | 显示全部楼层
谢谢版主   能解决这个问题 是我一直以来的困扰  谢谢
偶的QQ:275573435
希望版主 能谅解一下哦   呵呵
回复

使用道具 举报

xiaoliu0x0
 楼主| 发表于 2008-10-15 11:50:53 | 显示全部楼层
ICMP 我不知道是否影响到正常数据传输
但是我架设的CS服务器里面 怎么也看不出在线人数 说也奇怪
这个我也不知道什么原因
回复

使用道具 举报

oldjiang
发表于 2008-10-15 12:25:21 | 显示全部楼层
上网站看了
磊科2805NR不支持镜像
TP-LINK TL-SG1024不支持镜像
Quid way S1224 找不到手册,华为的我一直不知道在哪有手册下载
网吧不都有公安监控的吗?这个监控应该也是镜像的原理啊
回复

使用道具 举报

xiaoliu0x0
 楼主| 发表于 2008-10-15 16:49:01 | 显示全部楼层
最新工具捕获!
辛苦版主 我想知道 一般的方法我真的没有发现特异的现象  交换机 又没有地址 所以显得有点费劲!
我发过来的文件 请看一下 谢谢 倘若只能捕获广播地址的话  或许作用不是很大  卡机状态捕获的数据
谢谢版主

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

oldjiang
发表于 2008-10-15 18:56:01 | 显示全部楼层
192.168.0.201:27016,无数的机器给他发UDP包,大小都是71字节,内容都有TSource Engine Query字样,搜索,跟CS有关
回复

使用道具 举报

xiaoliu0x0
 楼主| 发表于 2008-10-15 21:42:08 | 显示全部楼层
这个是CS包  请问我看到一个MAC 两个IP地址:0.0.0.0
这是什么意思
还有就是里面网卡名字 后面有些我似乎不太了解
请问版主 能否帮我详细解决一下 好吗?
回复

使用道具 举报

oldjiang
发表于 2008-10-15 22:30:45 | 显示全部楼层

回复 23# 的帖子

在论坛搜索“0.0.0.0”,参考http://www.csna.cn/forum.php?mod=viewthread&tid=3207,跟DHCP有关,是正常现象
网卡名字是什么意思?科来,查看--显示网卡厂商菜单
“详细解决”,还是要做镜像抓包,你那个华为交换机,有手册吗?传上来看看
回复

使用道具 举报

xiaoliu0x0
 楼主| 发表于 2008-10-23 22:43:16 | 显示全部楼层
问题依然没有解决 哎
回复

使用道具 举报

cjxian99
发表于 2008-10-28 21:18:25 | 显示全部楼层
Quid way S1224 手册下载地址
http://www.h3c.com.cn/Home/Searc ... =%E6%90%9C%E7%B4%A2
H3C S1216[1224]以太网交换机 用户手册(V1.06)
http://www.h3c.com.cn/Service/Do ... er_Manual/H3C_S1216[1224]_UM(V1.06)/200712/323951_30005_0.htm

H3C -服务支持- H3C ER5000网吧典型组网方案指导(V1.00) ER5200+S5024P+S1224
http://www.h3c.com.cn/Service/Do ... n_Example/ER5000_TC(V1.00)/200712/324116_30005_0.htm
回复

使用道具 举报

oldjiang
发表于 2008-10-28 21:54:45 | 显示全部楼层

回复 26# 的帖子

Quidway和H3C的手册,通用的吗?
回复

使用道具 举报

baiyang
发表于 2008-10-28 21:55:26 | 显示全部楼层
快快抓个正确的上来,这几天没事,找个案例分析学习下,
回复

使用道具 举报

baiyang
发表于 2008-10-28 21:56:23 | 显示全部楼层
你有防火墙干嘛不开启
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表