请大家帮帮我，局域网快瘫痪了！【已上传故障发生时的完整数据包】

fate95 · 发表于 2010-6-23 15:46:02

本帖最后由 fate95 于 2010-6-25 15:35 编辑

故障描述：1.局域网经常掉线，部分或全部客户端都无法PING通网关192.168.0.36 （192.168.0.1没有任何问题）

            2.部分或全部客户端也偶尔无法PING通文件服务器

尝试的办法：
原来以为是ARP欺骗，但我用科来的本本观察了两天了，虽然有几个客户端出现ARP扫描警告和ARP请求风暴（但经常都是因为FEIQ引起的）。两个网关0.1和0.36也出现过主动不停的向某一台固定机器发送ARP响应！但是我还是不能够确定到底是什么问题！

以下是我的环境：
公司大概有40个节点

拓扑图：（顺便看看拓扑图有问题没？？）

补充：当无法PING通192.168.0.36，或者无法PING通其他服务器的时候，只需要拔掉服务器的网线，重新插上即可，但是！！！！此时PING服务器掉包严重且不是所有客户端都可以PING通，多次尝试拔掉交换机上的网线和网卡上的网线问题才暂时得以解决！！！  ....

补充2：
数据包


补充3：用Sniffer，提示有广播风暴，起始时间差并不多是PING不通0.36 的时候    ！

且用sniffer搜集到的广播 97%都是 IP_ARP协议。

补充4：故障发生时的完整数据包在这里：
http://cid-0fa72e3c2e578616.office.live.com/browse.aspx/share?uc=1

long_323 · 发表于 2010-6-23 16:14:41

ARP扫描警告和ARP请求风暴（但经常都是因为FEIQ引起的）? LZ咱判断的呢？
两个网关0.1和0.36也出现过主动不停的向某一台固定机器发送ARP响应？这些arp请求的源MAC是网关的mac么？
arp欺骗一般通过arp主动应答，来欺骗主机和网关，实现arp中间者欺骗
另外，一些网关开启了arp防火墙功能，也会定时发送arp主动应答，来避免出现arp中间者欺骗。
这两者的区别，就是要确定arp应答中的源mac，是否为网关mac

sam.chen · 发表于 2010-6-23 16:15:46

最好上点数据包上来。

fate95 · 发表于 2010-6-23 17:48:38

2# long_323

谢谢LONG_323

注意看一下我上面补充的东西。

因为FEIQ引起的 ARP 警告都有一个特点。就是请求和扫描ARP是都是有间隔的，IP之间间隔25
例如 192.168.0.23 192.168.0.48 192.168.0.73 ...
我还做过测试，当我刷新FEIQ时即可立即看到警告。

我确认过，192.168.0.1和192.168.0.36不停的向某一台固定的注意发送ARP主动应答时，里面的源和目标MAC，IP等信息都是它们自己的。我纳闷怎么就会不停的主动应答呢？

fate95 · 发表于 2010-6-23 17:50:05

3# sam.chen
谢谢 sam.chen

数据包我稍后上传。

fate95 · 发表于 2010-6-24 11:25:49

老大们怎么不来了 ......

fate95 · 发表于 2010-6-24 13:07:22

已经上传数据包了，麻烦来看看看，真的很着急

fate95 · 发表于 2010-6-24 14:26:32

再催催...
......................上火了

fate95 · 发表于 2010-6-24 15:12:25

3# sam.chen

还没有解决，继续等待.....

mengkai · 发表于 2010-6-24 16:06:51

我的是ARP请求风暴，主机IP的地址是192.168.0.123.
网络中有大量的104大小的arp包。查看0.58 0.16 0.55这几个主机的流量。

飞雪 · 发表于 2010-6-24 16:19:57

两个同一段IP做两个网关，有冲突

fate95 · 发表于 2010-6-24 16:23:02

10# mengkai

这几台主机我都杀过毒了，没有什么异常

现在192.168.0.1 0.36 又在不停的广播了，而且是主动ARP应答，向一台机器！！

疯狂的...

我猜会不会是交换机故障，导致局域网广播包被不停的转发......?会吗？

飞雪 · 发表于 2010-6-24 16:25:36

如果你把0。1的网段给停掉，侃侃

fate95 · 发表于 2010-6-24 17:44:19

为 13# 飞雪

为什么呢？

fate95 · 发表于 2010-6-24 17:45:25

11# 飞雪

我都做了很长时间了，估计有半年吧，现在才有冲突？

saibei · 发表于 2010-6-25 07:02:26

频繁掉线建议关闭部分主机
更换交换机试试

善变的心 · 发表于 2010-6-25 08:45:10

上来看看。。。。。。。。。。。。。。。。。。。。。。。

善变的心 · 发表于 2010-6-25 09:01:23

我叫我师傅看看他是分析师啊啊

long_323 · 发表于 2010-6-25 09:01:32

前几分钟，竟然都是arp数据。请问网关mac都是哪些？网关等设备是不是存在故障呢？

gu_chong · 发表于 2010-6-25 09:10:49

看现象像是物理环路的现象，但是你抓的数据包不全吧，为什么全是arp包呢，你检查一下有没有物理打环吧先。

fate95 · 发表于 2010-6-25 09:13:55

20# gu_chong

因为我设置的规则就是 ARP ..

环路检查过，没有。

fate95 · 发表于 2010-6-25 09:16:42

16# saibei

没有备用交换机

拔网线别人还要工作呢，我觉得应该是广播风暴导致网络堵塞了

但是为什么会产生广播风暴的原因暂不清楚

gu_chong · 发表于 2010-6-25 09:26:24

抓一下所有的流量发上来看看，出问题时候的

xiaoshazi · 发表于 2010-6-25 10:28:08

打不开科来的格式，奇怪了~~~~~~

牛二 · 发表于 2010-6-25 11:03:19

22# fate95
你最好抓全部数据包，这样容易判定是某些应用导致的还是病毒导致的ARP广播这么频繁，要全部数据包

fate95 · 发表于 2010-6-25 13:28:11

25# 牛二

好的，但技术交流版16M的缓存，捕捉全部数据包缓存一下就满了..

fate95 · 发表于 2010-6-25 15:37:53

25# 牛二

已上传完整数据包

best坏小子 · 发表于 2010-6-25 22:15:17

太多ARP了。。期待高手来解决啊！！！！！！！！！！！

gu_chong · 发表于 2010-6-26 11:37:39

看了半天也没看到有什么问题啊！！

linminwww · 发表于 2010-6-28 00:22:36

看了下三个包
1.故障发生时的完整抓包（包名）网关Mac地址
192.168.0.1 d8:5d:4c:3c:41:e2
192.168.0.36 00:0a:eb:6f:00:0a
2.网络故障（包名）
A。192.168.0.123 以太网MAC为00:17:31:21:57

4 ARP包头00:17:fb:fe:57

4
   很明显192.168.0.123的包是经过ARP欺骗软件的修改。
B 。00:1B:FC:B1:9F:F7  存在ARP欺骗，单播自己为网关192.168.0.1。  （谁真谁假你自己一查就知道了）
3.网络故障2
也存在192.168.0.123  以太网MAC为00:17:31:21:57

4 ARP包头00:17:fb:fe:57

4
很明显192.168.0.123的包是经过ARP欺骗软件的修改
还有就是全部都是请求网关的数据包，没有应答
应该是楼主过滤掉了

还是局域网存在ARP 欺骗好像不至一台机

请大家帮帮我，局域网快瘫痪了！【已上传故障发生时的完整数据包】

本帖子中包含更多资源

评分