各位高手分析一下这个案例

hongbo2008 · 发表于 2009-3-27 16:42:18

这个贴可能发的位置不对，没有回应，现在重新发在网络分析模块中，但原来这个删不掉，只好如此了。
科来分析软件功能的确强大，提高了工作效率，这是我做的一个实验抓的包，分析结果却让我感到困惑，与论坛中分析的结果有很大的不同，请论坛的高手来分析一下，网络出了什么问题？

[ 本帖最后由 hongbo2008 于 2009-3-27 19:37 编辑 ]

mrgyj · 发表于 2009-3-30 16:26:04

我也是刚接触网络分析，看了下你抓的包。发现192.168.54.85发送大量的广播包。在协议字段可以清晰看到other项占据该节点百分之99以上数据流量。使用的UDP协议。访问端口为1004 。个人猜测是不是该机感染蠕虫病毒？

hongbo2008 · 发表于 2009-3-30 20:46:44

不是这样子的，但做这个实验我也感到困惑。

hongbo2008 · 发表于 2009-4-2 21:07:52

是啊，为什么这台机器流量如此之大，事实上这台机器是没有任何问题的，这正是我疑惑之处。

oldjiang · 发表于 2009-4-2 22:12:13

192.168.54.85:1004，包也太密了，看看是什么进程，参考http://www.csna.cn/forum.php?mod ... amp;page=1#pid52287
搜索udp 1004，跟迅雷有关，参考http://bbs.218.cc/archiver/?tid-66516.html

hongbo2008 · 发表于 2009-4-3 00:40:23

终于把生版主给盼来了，看来这个真相就要揭开。好在这是我特意做的一个实验，否则真的分析不出来。首先我要说明192.168.54.85机器没有问题，1004端口一般也不会是迅雷的原因，我们可以看到，1004端口发送的全是广播包，迅雷不会总是发广播包吧，另外在网络恢复正常后，尽管还会有广播包，但基本没有问题。刚才看了版主提供的链接，觉得

小李探花 2007-11-23 10:44
UDP1004并不是一个常用端口。大量发送此类数据包的主机可能存在未知问题...
是有道理的。上次只上传了发生问题时的抓包，为了便于给分析，现将故障排除后的抓包也发上，请各位畅所欲言，共同提高。
想在这发上网络恢复正常的抓包，却发不上，我看看如何能传上。

[ 本帖最后由 hongbo2008 于 2009-4-3 00:52 编辑 ]

hongbo2008 · 发表于 2009-4-3 08:29:18

昨晚折腾了好长时间，没传上来，看来即使压成２Ｍ的，也不能一次传上来，可能要传７次了

oldjiang · 发表于 2009-4-3 08:32:57

你说的实验是怎么回事？

hongbo2008 · 发表于 2009-4-3 08:35:20

版主帮忙，把上个只传个part1.rar的删掉，谢谢。

hongbo2008 · 发表于 2009-4-3 08:40:39

实验的问题是什么，暂时不说，相信各位高手一定能分析出来。

oldjiang · 发表于 2009-4-3 09:24:57

1#的附件确实是环路

[ 本帖最后由 oldjiang 于 2009-4-3 09:37 编辑 ]

hongbo2008 · 发表于 2009-4-3 10:51:07

下图是一个网络出现网速变慢故障时，科来网络分析系统捕获的数据包信息。

从图中可知，当前网络中出现了大量相同的数据包，详细查看这些数据包，发现这些数据包的大小都是64字节、IP标识都是1872、序列号和确认号是都是完全相同的，据此，我们推断，当前网络中可能存在网络环路的现象。查看数据包的源地址是192.168.2.100，找到连接192.168.2.100的网络交换设备，发现是一个8口简易交换机，上面竟然有两个端口直接用一根网线进行了连接（可能是管理人员不小心所致），两个端口直接连接后，通过它们的数据包直接在端口之间发送，形成了网络环路。将网线拔掉，网络速度立即恢复正常，再次抓包，无类似上面的数据包出现，问题解决。

这是从论坛中看到的分析环路，为什么在这个实验中却不能看到同样的分析结果？

[ 本帖最后由 hongbo2008 于 2009-4-3 10:52 编辑 ]

oldjiang · 发表于 2009-4-3 10:58:40

包大小交替，IP标志也交替，UDP包没有序列号和确认号

hongbo2008 · 发表于 2009-4-3 12:24:04

版主刚才也找到了ＩＰ标志相同的，这是在什么协议里找到的？好像我以前也看到过这个，还想这个为什么会是交替相同？但现在找不到了？是因为我现在用的是学校版，还是因为设置？

oldjiang · 发表于 2009-4-3 12:38:58

参考：http://www.csna.cn/forum.php?mod ... amp;page=1#pid52342

oldjiang · 发表于 2009-4-3 12:41:47

你这个实验很好，加分鼓励

hongbo2008 · 发表于 2009-4-3 13:45:11

谢谢版主，原来ip标识是这样找出来的，惭愧用了这么久竟然这个问题刚弄明白。还想请教一下版主，现在清楚是环路了，环路所在的机器是１９２．１６８．５４．２００，192.168.54.85与环路这台在不同的端口，物理位置还隔了一幢楼，为什么发包的会是它？如果这不是实验，而是真实发生的，如何才能找出环路所在。因为前不久的环路就是这样，我找出了几台可疑的机器，但最后证明这些机器没有问题。

oldjiang · 发表于 2009-4-3 13:52:22

确实，环路是交换机的问题，不是某个机器的问题
参考http://www.csna.cn/forum.php?mod=viewthread&tid=7914 用科来网络分析系统监控广播风暴
我觉得比较好的办法还是折半查找，参考http://www.csna.cn/forum.php?mod=viewthread&tid=4955 伪造IP与MAC的攻击查找

hongbo2008 · 发表于 2009-4-3 14:00:18

谢谢，今天课太多，又要上课了，回去仔细读一下。

各位高手分析一下这个案例

评分

你的分析结果又是什么呢？

回复 2# 的帖子

上传网络恢复的抓包

这个未传上，补上

实验的问题

回复 14# 的帖子

回复 17# 的帖子