公司网络速度变慢（很怪的问题），想请教下各位有什么解决思路！

butter521 · 发表于 2006-5-12 16:39:13

公司网络最近出现一个很怪的问题，访问网页时出现“无法显示此页错误代码：10060: 连接超时背景信息: 在检索此页前发生了超时。这可能表明网络拥塞或网站遇到技术困难。” 但多刷新几次网页就会刷出来，而且显示出网页的速度还很快，貌似有很多连接请求出站而造成了拥挤，如果一旦出去速度就会很快。还有就是下载，连上比较难，但连上之后速度就像平时一样，也就是说出口带宽并未被占用。

针对以上情况我做了以下工作但都未解决问题！
1、杀毒。用symantec和trend均未查出。
2、用ISA对用户访问网络的应用程序，如QQ等做了严格的限制，把用户权限降到最低，未见起色。
3、用ISA及SNIFFER（用的不熟）对出口进行监控，未发现任何明显异常，对怀疑的PC进行杀毒也没有任何发现。

另外我怀疑是不是硬件的问题，公司现在用的是2个交换机和1个HUB互连的内网，HUB比较老，他会不会拖整个网络的速度呢？

还有就是我一直怀疑是DNS的问题，是否是因为DNS请求数过多，而导致解析不流畅呢？通过ISA每天的日志分析，不到70人的网络环境，1天DNS的请求数将近3W（不知是否正常）

还有就是如果赶上开会，也就是用户减少的时候，速度就会有明显的提高！

现在很郁闷，就像解数学证明题一样，实在没头绪了，请各位大虾给点思路！

jingshne · 发表于 2006-5-14 12:13:14

用协议分析工作做个检查啊

butter521 · 发表于 2006-5-15 10:14:57

原帖由 jingshne 于 2006-5-14 12:13 发表
用协议分析工作做个检查啊

不好意思，水平不够，听不太懂，可以仔细说下协议分析工作的大体步骤吗，谢谢

菜鸟人飞 · 发表于 2006-5-15 10:45:26

10060，比较奇怪，没遇到过，RFC中也没找到相应的介绍。您在访问网页时的故障页面是怎样的呢，抓一幅图上来看看，个人怀疑有攻击的可能。
另外，连接超时，一般是客户端和访问服务器之间的连接出现问题，很可能的原因是网络中有大量P2P软件（如BT，电骡）在工作，建议通过如下的方法进行排查：
1．在出现故障的时候抓包，即出现10060错误的时候；
2．在正常的情况下抓包；
3．分析两种情况下的数据包，找出不同点。

BTW
>还有就是如果赶上开会，也就是用户减少的时候，速度就会有明显的提高！
会不会是参与开会的人在攻击哦。

抓包可用的软件有sniffer、科来网络分析系统，另外，如果抓了包，可以把数据包文件放上来，我们一起分析。

菜青虫 · 发表于 2006-5-15 10:54:16

对啊~~楼主抓些包上来大家研究一下撒！

看描述很难判断

butter521 · 发表于 2006-5-15 16:19:22

原帖由 菜鸟人飞 于 2006-5-15 10:45 发表
10060，比较奇怪，没遇到过，RFC中也没找到相应的介绍。您在访问网页时的故障页面是怎样的呢，抓一幅图上来看看，个人怀疑有攻击的可能。
另外，连接超时，一般是客户端和访问服务器之间的连接出现问题，很可能的 ...

图片我通过附件上传的，至于您说的抓包，因为问题是时断时续，我也不知道该怎么抓，抓了不到2000个包，可以分析的出吗？（抓包工具用的不熟-_-0）

butter521 · 发表于 2006-5-15 16:24:55

原帖由 butter521 于 2006-5-15 16:19 发表

图片我通过附件上传的，至于您说的抓包，因为问题是时断时续，我也不知道该怎么抓，抓了不到2000个包，可以分析的出吗？（抓包工具用的不熟-_-0）

抓的包好象下不了，各位斑竹我可以发到你们的油箱吗？谢谢

菜鸟人飞 · 发表于 2006-5-16 10:27:17

原帖由 butter521 于 2006-5-15 16:24 发表
抓的包好象下不了，各位斑竹我可以发到你们的油箱吗？谢谢

可以下载。
对下载的数据包看了下，发现过多DNS错误，怀疑跟配置的DNS服务器有关，您更换下DNS服务器试试。
另外，网络中的其它应用有出现类似反正较慢的情况吗？
同时，可以参考下微软的东东http://support.microsoft.com/kb/284674/zh-cn

[ 本帖最后由菜鸟人飞于 2006-5-16 10:39 编辑 ]

butter521 · 发表于 2006-5-19 17:17:22

原帖由 菜鸟人飞 于 2006-5-16 10:27 发表

可以下载。
对下载的数据包看了下，发现过多DNS错误，怀疑跟配置的DNS服务器有关，您更换下DNS服务器试试。
另外，网络中的其它应用有出现类似反正较慢的情况吗？
同时，可以参考下微软的东东http://support ...

谢谢老大的分析！

还有一事请教，您说在查看数据包的时候发现很多DNS错误，可能是科来我用的不熟的缘故，我想请问下您是如何发现错误的，是具体分析数据包吗？我查看时没报错误呀，谢谢！

butter521 · 发表于 2006-5-19 17:22:14

其他应用没有，应该说DNS解析是正常的，NSLOOKUP的解析速度也非常快，DNS也做了转发。exchange内网邮件收发和ISA （与域集成，采用域用户身份验证）都很正常，但exchange对外网邮件的收发速度很慢！

菜鸟人飞 · 发表于 2006-5-19 17:26:18

从日志分析结果中看到的。如图

butter521 · 发表于 2006-5-23 17:27:48

请问出现这种结果一般是由什么原因引起的呢？

菜鸟人飞 · 发表于 2006-5-24 11:49:56

可能原因　　　　　推荐解决方法
DNS查询格式错误　　检查客户端的DNS请求是否正确
DNS服务器查询失败　　更换客户端上配置的DNS地址
DNS服务器返回未实现、拒绝、预留。　　更换客户端上配置的DNS地址

butter521 · 发表于 2006-5-29 17:32:12

上个星期排查了所有机器，做了以下步骤：
1、把所有与工作无关的应用程序全部禁掉，主要是删除QQ，把一些异常的不常用的启动项也全部禁止了。
2、部署了WSUS，将所有机器的补丁打全。
3、把一半的客户端DNS指向另外一台服务器。

以上步骤做完之后，速度有提高，不像原来忍无可忍了，但仍然会出现1楼的错误，用科来分析时仍然会有将近1/3的DNS查询日志报错，主要是报两个错误：服务器失败和主机不存在。

您在回答时说有可能是DNS查询格式错误，解决方法是检查客户端的DNS请求是否正确，对这点不太明白，请问如何检查DNS的请求呢？如何判断对错呢？

另外还有一事想请教：现在的思路是在想办法解决DNS的问题，会不会是其他原因呢？比如病毒。我的意思是说在杀毒软件（symantec和trendmicro）没有提示的情况下，是不是还有其他途径来查毒，比如是否可以通过科来分析出某些异常数据包后来确定是由于病毒而引起的网络堵塞呢？偶对数据包的分析还是没经验，如果有必要，是否可以请您根据现在的情况说下过滤条件，抓包后帮偶分析下呢？

再次感谢您的回复

菜鸟人飞 · 发表于 2006-5-30 11:11:50

检查DNS请求也就是检查客户端请求的域名是否正确，因为输入的域名错误，那么DNS的数据库里就会找不到该错误域名对应的IP，也就会返回DNS请求的主机不存在的诊断信息。

当然，也有可能是病毒或其它的原因造成的。杀毒软件依赖于病毒库，由于病毒库可能的滞后性以及内部人员可能未及时更新病毒库，所以在安装杀毒软件后仍然中毒的可能仍然存在。
这时可以抓取数据包，查看网络中主机的TCP会话是否正常，如果出现客户端或服务器端存在大量数据包，而另一端为0的情况，则该主机可能被感染病毒，你可以看看。
另外，对于你所说的病毒的过滤器，我很想帮你设定，但由于不知道是什么病毒，便不知道该病毒的工作特征，也就无法设置该病毒的过滤器，所以很抱歉。

butter521 · 发表于 2006-5-30 17:29:21

巨汗,检查DNS请求被我想的太复杂啦,都怪这破网络闹的心不静!不过,出现那么多的主机不存在报错,我想不全是因为同事输入错误域名而导致的,请问还有其他原因会引起这个错误吗?

公司的杀毒软件病毒库都是最新的,客户端也都是由服务器统一更新的,查不出毒那就另当别论了.呵呵

我下午观察了一段时间的数据包传输,但没发现明显的TCP会话异常.

对了,忘了告诉你个好消息,今天公司网络基本与正常想差无几了,偶尔会出现打不开网页的情况,可我用科来时发现依然会出现N多的DNS报错,但压力总算暂时小了不少,可问题依旧,实在很苦恼呀!!!哎,以后有机会慢慢查吧,接下来又开始忙了

很感谢这些天来你的帮助和分析,让偶学到不少东西,最主要的收获就是sniffer和科来了,这两个工具对以后排错肯定会有很大帮助的,谢谢啦!交个朋友吧,自我介绍一下先,偶刚工作一年,主要做微软产品的技术支持,以后大家多多交流哈!

菜鸟人飞 · 发表于 2006-5-31 09:07:15

很高兴认识你啊，论坛上的都是朋友，希望以后多来逛逛，有什么问题我们一起共同探讨。

shifeixiang · 发表于 2006-7-9 04:26:32

我懂得不多也来顶顶吧,,,

公司网络速度变慢（很怪的问题），想请教下各位有什么解决思路！

本帖子中包含更多资源

本帖子中包含更多资源