CSNA网络分析论坛»首页 流量分析 网络分析 怪现象,有人遇到过吗?
返回列表 发帖
查看: 12295|回复: 11

怪现象,有人遇到过吗?

[复制链接]
神舟
发表于 2006-9-14 13:04:50 | 显示全部楼层 |阅读模式
      在同一网络的机器,用ping 检测是否连通,可以ping 通,连接正常,一段时间后ping不通了,报Reauest time out,
但此时如被ping目标机(如192.168.0.100)ping发起ping的机器,连接立即恢复,另外当ping不通时,如别的机器
ping目标机(192.168.0.100),则连接也能恢复正常,那位遇到过这种情况吗 ?请问是什么原因?
      另外有个网通的vpn线路通过光纤进入,下面连着21个点,当把这根线接到现有网络的交换机时,发现丢包严重,
原工作正常的原有网络也有丢包,一开始怀疑是vpn线路中有机器在发起攻击或中病毒,但在网通那里把所有vpn端口
都封住后还有此现象,只要把vpn进线从交换机上断开网络就正常,反之时断时续。当端口未封时用抓包软件发现好多
机器都在连接192.168.0.255的137端口,这正常吗?
回复

使用道具 举报

神舟
 楼主| 发表于 2006-9-14 13:05:58 | 显示全部楼层
在线苦等,请各位伸以援手
回复

使用道具 举报

菜鸟人飞
发表于 2006-9-14 13:22:08 | 显示全部楼层
在同一网络的机器,用ping 检测是否连通,可以ping 通,连接正常,一段时间后ping不通了,报Reauest time out,
但此时如被ping目标机(如192.168.0.100)ping发起ping的机器,连接立即恢复,另外当ping不通时,如别的机器
ping目标机(192.168.0.100),则连接也能恢复正常,那位遇到过这种情况吗 ?请问是什么原因?

可以肯定的是,物理链路是正常的,问题很可能出在了两端的主机上,甚至是被Ping的主机(192.168.0.100)。
难道是192.168.0.100有某种限制,你试过在192.168.0.100上主动Ping其它主机的情况吗,这种情况下会不会不通?另外,你试一下和192.168.0.100进行其它的通讯,如和它建立一个Telnet或FTP的连接,看它是否会断掉?如果断,那么重新试一次,并抓下当时的数据包,传上来大家一直看 :)


另外有个网通的vpn线路通过光纤进入,下面连着21个点,当把这根线接到现有网络的交换机时,发现丢包严重,
原工作正常的原有网络也有丢包,一开始怀疑是vpn线路中有机器在发起攻击或中病毒,但在网通那里把所有vpn端口
都封住后还有此现象,只要把vpn进线从交换机上断开网络就正常,反之时断时续。当端口未封时用抓包软件发现好多
机器都在连接192.168.0.255的137端口,这正常吗?

我认为是不太正常的,比较大的可能是存在攻击。
192.1680.255是子网广播地址,这些机器发起的数据包都是发往它,端口都是137,协议都是UDP吗,占用的流量有多大?
另外,你抓包的位置是否正确,只看到上面所说的数据包,会不会是你的安装位置不当引起的呢?
你可否将VPN过来的数据包全部捕获?
回复

使用道具 举报

神舟
 楼主| 发表于 2006-9-14 13:35:53 | 显示全部楼层
谢谢版主
1)192.168.0.100主动ping其它的机器也有这个现象,不只是一台主机,实限实中我在两台机器上同时对3台机器进行ping操作,发现只有一台机器ping另外三台时,有时报操时,两台同时ping,此现象就少了很多,但偶尔也有。不是某一台被ping的机器,而是三台都是这种情况
2)都是UDP协议,连137端口,占流量的20%左右,vpn过来的数据是我把vpn进线直接接到我的笔记本上抓到的
回复

使用道具 举报

发表于 2006-9-14 15:52:15 | 显示全部楼层
很奇怪,恩,越描越复杂,真正怪异的问题建议看下驱动是否出问题了
回复

使用道具 举报

神舟
 楼主| 发表于 2006-9-14 16:33:03 | 显示全部楼层
30秒抓的包:之一

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

神舟
 楼主| 发表于 2006-9-14 16:45:45 | 显示全部楼层
抓包部分之二:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

神舟
 楼主| 发表于 2006-9-14 16:49:50 | 显示全部楼层
30秒内抓的包之三:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

神舟
 楼主| 发表于 2006-9-14 20:04:24 | 显示全部楼层
有那位能帮我看一下吗?
回复

使用道具 举报

神舟
 楼主| 发表于 2006-9-14 23:35:54 | 显示全部楼层
现有网络使用正常,如把vpn进线隔离单用一个交换机与原网隔离,这个交换机上与vpn相连的计算机又能与vpn正常连接,但一但vpn网与现有网连上就大量丢包,严重时根本就连不上。用科来网络分析的诊断里能看到错误最多的集中在传输层中的“tcp连接被复位”与“tcp重复的连接尝试”。能是那里的问题呢?
回复

使用道具 举报

bolly_zhang
发表于 2006-9-15 13:24:03 | 显示全部楼层
vpn线路有病毒攻击,udp 137端口的病毒攻击。解决方法也很简单啊 1、如果你的vpn中心设备支持在vpn连接上面设置acl的话,做acl把它作用在vpn线路上  2、就是找到到底21个网络中,哪个网络在发病毒(很简单,挨个断掉某个vpn连接,然后如果没病毒了,就找出来了),找到后,你到这个网络的路由器上做acl,就行了
回复

使用道具 举报

rfc126
发表于 2006-9-15 16:03:12 | 显示全部楼层
好案例
我也认为是有UDP的攻击
否则不会掉网
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表