又来麻烦大家了

lxy-小鱼儿 · 发表于 2008-10-14 11:10:06

客户机什么都没做的情况下居然检测到.70/.71/.72/.73/.96/.97和几个地址通信
大家看看怎么回事?

oldjiang · 发表于 2008-10-14 11:16:01

查看单播矩阵，都是和192.168.0.1的通讯
定位TCP-OTHER协议，都是和192.168.0.1:9001的通讯，是你的ARP管理软件

lxy-小鱼儿 · 发表于 2008-10-14 11:26:39

原帖由 oldjiang 于 2008-10-14 11:16 发表
查看单播矩阵，都是和192.168.0.1的通讯
定位TCP-OTHER协议，都是和192.168.0.1:9001的通讯，是你的ARP管理软件

查看单播矩阵，都是和192.168.0.1的通讯
这句不太懂

还有关键是UDP流量我看不懂居然还有QQ协议

oldjiang · 发表于 2008-10-14 11:32:05

再定位192.168.0.72，看协议，有QQ的包，还有个UDP-OTHER，但包的数量很少，难以知道是什么进程。
“客户机什么都没做”，只是表象。

oldjiang · 发表于 2008-10-14 11:39:56

操作过程
顶层节点

矩阵视图

选项

图

定位协议

看会话

oldjiang · 发表于 2008-10-14 11:48:59

你这个防ARP软件，服务器端扫描也就罢了，客户端也要扫描？什么道理啊
我觉得要防ARP，根本的办法还是在交换机做端口隔离，顺带也防了其他病毒的传播，就是做起来麻烦点，层层隔离

lxy-小鱼儿 · 发表于 2008-10-14 11:49:50

看来就是那几个有问题也查不出什么来只好重装了谢谢oldjiang

oldjiang · 发表于 2008-10-14 11:51:28

重装70/.71/.72/.73/.96/.97这些机器？不用吧，从这个包看没什么问题

lxy-小鱼儿 · 发表于 2008-10-14 11:52:09

原帖由 oldjiang 于 2008-10-14 11:48 发表
你这个防ARP软件，服务器端扫描也就罢了，客户端也要扫描？什么道理啊
我觉得要防ARP，根本的办法还是在交换机做端口隔离，顺带也防了其他病毒的传播，就是做起来麻烦点，层层隔离

交换机做端口隔离这个太高深了不懂(也没听过)
而且交换机不带管理的不能做吧?

oldjiang · 发表于 2008-10-14 11:56:51

不带管理的做不了
隔离，简单的说就是同一个交换机上隔离的端口之间不能通讯
Protected ports do not forward any traffic to protected ports on the same switch. This means that all traffic passing between protected ports—unicast, broadcast, and multicast—must be forwarded through a Layer 3 device.

参考：http://www.csna.cn/forum.php?mod=viewthread&tid=8572

[ 本帖最后由 oldjiang 于 2008-10-14 11:59 编辑 ]

lxy-小鱼儿 · 发表于 2008-10-14 12:19:39

关掉上面那6台后采集的数据
感觉就是那6个机器有问题呀

oldjiang · 发表于 2008-10-14 12:25:34

那六台机器的包也没什么特别的啊
如果持续发包，可以参考http://www.csna.cn/forum.php?mod=viewthread&tid=9417的2#查找进程

[ 本帖最后由 oldjiang 于 2008-10-14 12:28 编辑 ]

lxy-小鱼儿 · 发表于 2008-10-14 14:20:39

正解终于找个那个进程了

原来是金山基础服务什么的 (都是金山清理专家惹的祸)
感谢laojiang

xiasixia · 发表于 2008-10-14 22:53:58

精彩的问与答，又学到一招。
谢谢两位！

又来麻烦大家了

本帖子中包含更多资源

回复 3# 的帖子

本帖子中包含更多资源

回复 7# 的帖子

本帖子中包含更多资源

回复 12# 的帖子