局域网中很多电脑都老是断网是怎么回事？

naite · 发表于 2008-11-17 12:02:13

局域网中很多电脑都老是断网是怎么回事？而且有2台电脑邮件发出之后别人会收到5-6封相同邮件，我看过那些问题电脑，杀不出病毒和木马，arp -a 列表就一个网关，然后ping网关的时候却是时断时续，但是我已经用软件等手段双向绑定了IP-MAC地址，但是还是一样，请问到底是什么原因？附件中是我截获的工程，请大侠们帮我看看。

[ 本帖最后由 naite 于 2008-11-18 12:11 编辑 ]

oldjiang · 发表于 2008-11-17 12:06:18

ARP地址扫描（主机IP地址192.168.10.32）00:1D:7D:70

F:C2

naite · 发表于 2008-11-17 12:16:47

感谢楼上的，这我知道，已经把他kill了~但是。。。。

oldjiang · 发表于 2008-11-17 12:37:56

如果ping外网延时大、丢包，那可能有带宽占用，这个需要正确部署抓包
但是ping网关都丢包，就难说了，除了路由性能的原因，最可能的就是ARP，设个APR过滤器，抓一天的包看看

[ 本帖最后由 oldjiang 于 2008-11-17 12:39 编辑 ]

pctemplar · 发表于 2008-11-17 12:45:18

但是什么啊？我怎么看着你部署的都不正确呢，全是广播包！

网络协议分析软件安装部署简介!
http://www.csna.cn/forum.php?mod ... hlight=%B2%BF%CA%F0

[ 本帖最后由 pctemplar 于 2008-11-17 12:46 编辑 ]

naite · 发表于 2008-11-17 12:53:59

昨天测试还好的，今天测试就不通过了。。只能捕获本机流量。。。

naite · 发表于 2008-11-17 13:06:50

我是直接连接在总路由上的电脑抓包的啊，应该部署没问题的。

oldjiang · 发表于 2008-11-17 13:12:03

如果是做了端口镜像，应该不会这样，除非没有其他机器访问外网
看单播矩阵，有无交叉，一目了然
另外抓ARP，不做镜像也行

naite · 发表于 2008-11-17 13:15:28

多谢版主，我路由器做了端口镜像后可以全部捕获了~
对了，数据包缓存大小怎么最大也才16MB，我几秒钟就满了，没法继续啊。。。

[ 本帖最后由 naite 于 2008-11-17 13:25 编辑 ]

bingxuelin · 发表于 2008-11-17 13:45:24

几秒满了?发上来看看...估计是有人下载东西

oldjiang · 发表于 2008-11-17 14:13:35

满了没关系的，抓一分钟即可

naite · 发表于 2008-11-17 14:24:59

关键是满了之后文件太大传不上了。。。

抓包一分钟没过滤的话有压缩后最少一次有7M

[ 本帖最后由 naite 于 2008-11-17 14:53 编辑 ]

oldjiang · 发表于 2008-11-17 14:55:46

分卷压缩，参考http://www.csna.cn/forum.php?mod ... amp;page=1#pid55245

royallin · 发表于 2008-11-17 15:03:19

网络延迟大就会重复发邮件。

naite · 发表于 2008-11-17 16:45:46

我已经重传了一个工程（应为是公司的网络，所以文件比较大），请问怎么解决呢？如何找到问题电脑呢？

sxcisco · 发表于 2008-11-17 21:04:51

看了下，初步怀疑不是ARP的问题

其他问题等待高手回答

oldjiang · 发表于 2008-11-18 08:23:36

1、定位ARP-request协议，端点，按发包降序，00:11:D8:AE:CB:FD有ARP扫描
2、很多机器找192.168.10.245，这是个什么机器
3、协议视图有BitTorrent，机器是192.168.10.43。矩阵视图，他的连接数也最多，166个；定位他，HTTP日志有tracker字样，UDP会话本地都是一个端口；这些都是P2P的特征。
4、协议视图有RTP，在线视频，机器是192.168.10.27等，矩阵连接数66个
5、图表-利用率，每秒位2Mbps左右，峰值2.6Mbps，带宽多少？:P

oldjiang · 发表于 2008-11-18 08:28:32

节点浏览器的两个私有网络，10.0.0.0/8和192.168.0.0/16，向他们发包的也是192.168.10.43。你的局域网上可能并不存在这些子网，跟一些莫名其妙的地址单向通讯，也是P2P的特征之一。

naite · 发表于 2008-11-18 08:53:37

多谢版主，解释的很详细也易懂，因为我手动进行了双向IP-MAC地址绑定，所以我把路由的ARP保护关闭了（路由arp发包以前设置是5个每秒）不知道会不会有影响，另外192.168.10.245是网关地址，所以我想可能不是ARP病毒的问题，可能是蠕虫病毒或者其他病毒也说不定，我准备今天再捕获些数据包看看情况，请问蠕虫病毒的话有哪些特征呢？。

另：怎么删除帖子中多余的附件？

[ 本帖最后由 naite 于 2008-11-18 09:01 编辑 ]

oldjiang · 发表于 2008-11-18 09:03:24

路由的ARP保护，每秒5个包，不多，开着吧
在论坛搜索“蠕虫”，按标题，所有的板块，看贴

oldjiang · 发表于 2008-11-18 09:12:20

1、点编辑

2、想删除哪个就打勾

3、点编辑帖子

局域网中很多电脑都老是断网是怎么回事？

本帖子中包含更多资源

回复 9# 的帖子

回复 12# 的帖子

回复 19# 的帖子

本帖子中包含更多资源