TCP复位数据包流量过大导致网络暂时中断的分析

nxxse · 发表于 2010-4-11 13:37:14

本帖最后由 nxxse 于 2010-5-23 20:39 编辑

一、故障现象描述

1、网络环境

2、故障描述
分局访问省局或市局应用服务，不定时出现网络暂时中网然后自动恢复，市局内部网络没有出现中断；通过捕获数据发现，此时出现大量的TCP复位数据包。

二、故障分析

Cisco:20:7C:0A很短时间内发送了大量的TCP数据包，而Cisco :CD:7F:80却一个数据包也没有回复，这是很不正常的现象。

初步结论：Cisco:20:7C:0A、Cisco :CD:7F:80两台网络设备的问题；或是他们之间的安全设备的问题，如果有的话！

检查Slaver三层交换机发现G9/12出现MAC漂移现象，升级Slaver三层交换机IOS后日志中不再有MAC漂移的记录；还发现G0/3连防火墙的光纤线缆不稳定，更换之后网络运行正常，分局访问不再出现中断后自动恢复的现象。

一点说明：因为第一手资料缺失，即没有足够资料支持论断，结论还是留待大家总结吧！

应论坛网友要求，附上数据包：

long_323 · 发表于 2010-4-11 14:05:00

期待……

saibei · 发表于 2010-4-12 08:55:52

很好的数据流

孤独的意尹者 · 发表于 2010-4-12 12:07:20

请楼主上传数据包，供大家分析学习

gu_chong · 发表于 2010-4-12 13:35:23

从上面的图上看是10.16.5.150向主机21.15.80.21发送大量tcp连接重置包，每秒钟近15万个包，单看包间隔应该是每秒30万个了，这么大的发包强度估计防火墙肯定是承受不了的。但为什么会出现这么大的数据流很奇怪，应检查一下是不是由路由环引起的，一般主机的发包能力可没这么强。楼主方便的话发个数据包过来看看吧。

nxxse · 发表于 2010-5-23 20:51:10

虽然时间是相隔久一点，但总算是补全了轮廓，没有失言啊！

xiaoshazi · 发表于 2010-5-23 23:04:18

应该不是路由环路，生存时间一直没有变。有没有查看一下相关各个接口的收发包的数量？这样能很容易的分析是从那个设备发出大量的数据包。

整个的捕获时间是2分32秒，但是没有其他的通信，捕获的时候是否加了过滤器呢？

ts219lilong · 发表于 2010-5-24 00:29:37

来看一下学习学习！！！！！！！！！

stormqi · 发表于 2010-5-24 14:02:49

这次不会还要求说话的词的个数吧！难到我就不能少说几个词吗！

xiaoyao00 · 发表于 2010-5-30 03:07:01

看看看看。。。。。。。。。。。。。。。。学习了。。.

ddv527 · 发表于 2010-6-1 21:58:19

看看看看。。。。。。。。。。。。。。。。学习了。。.
file:///C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/2FJGZ7EV_2H068`BZVXJVKY.jpg
我的重置位是0 怎样解释：：

TCP复位数据包流量过大导致网络暂时中断的分析

本帖子中包含更多资源

评分