TCP重传数据包--无法控制啊,求救.

lan4250 · 发表于 2010-9-28 15:46:07

网络结构: adsl+路由器+交换机+各个交换机
问题: 当网络中某台电脑突然拔掉网线,则导致整个网络的瘫痪. 当把该主机重新插上网线则整个网络就恢复正常。
分析: 使用科来抓包发现是外网的某ip不断的向该已断线主机发送数据包，而且发送速度大约为 1800多个/秒有的时候3000多。科来分析工具显示为--TCP重传数据包

请大虾们帮帮忙，困扰了很久的问题。

注：该主机无病毒。

我做的工作：
1、当出现问题要去查该主机发现已经关机再打开则没问题。无法抓其把柄（郁闷）
2、路由器上也做好防御外网的攻击措施，且将出现问题的ip或端口都封掉了。（下次还会再出现，且ip又变成另一个或几个）再郁闷
3、打电话到路由器厂家做好相应的配置，问题依旧。(还是郁闷）
4、重新启动路由器，可以解决。但是不可能每次都这样处理吧？那领导不骂死我了。（郁闷死）

所以在此将数据包发上来请教各位高手帮帮忙非常感谢。。

long_323 · 发表于 2010-9-28 17:05:51

1、192.168.8.5成了肉鸡，被装了后门软件DynGate。这是请求域名http://59.108.25.5/din.aspx?s=10 ... Gate&p=10000349
这个可能跟DOS攻击有关。
2、可能还有其他问题，等大家继续发现！

lan4250 · 发表于 2010-9-28 17:21:57

不是这问题问题主要集中在 ip地址为： 215 的那台机子

robur · 发表于 2010-9-28 17:29:01

外網的幾個IP確實向8.215發送大量的sPort=80或443的數據包。
這些數據包都是無載荷的，而且TCP控制位一般是ack+rst或者ack+fin。
很可能是DDOS攻擊。

問題是你再哪抓的包？是你的局域網內部？
我的疑問目前是，這些包是怎麼傳到你內網來的？
NAT的基本工作原理你應該清楚吧？你把路由器上的Translation Rules清空一下看看。

我同意2樓說的。

lan4250 · 发表于 2010-9-28 17:38:37

本帖最后由 lan4250 于 2010-9-28 17:46 编辑

我是在交换机下抓的包  就算是在路由器上做端口镜像抓出来的结果和这个也差不多
路由器上没有Translation Rules设置。倒  3楼能否加我的QQ：38015835  详细聊聊  谢谢了

215那台主机  只是访问了银行类网站  最多的是访问 google

robur · 发表于 2010-9-28 17:53:51

我是在交换机下抓的包  就算是在路由器上做端口镜像抓出来的结果和这个也差不多
路由器上没有Translation Rules设置。倒  3楼能否加我的QQ：38015835  详细聊聊  谢谢了

215那台主机  只是访问了银行类 ...
lan4250 发表于 28/9/2010 17:38

不好意思，我說的是NAT的轉發規則或者轉發表。
這東西可以手工指定（或稱作端口映射，或者是DMZ），大多數都是自動生成的。

如你所述，你在內網抓的包，你路由器如果沒有這個轉發規則，外網發來的數據包是不可能進到內網的。

你上面說的，某台電腦，拔下網線，是215這台機器麼？

我覺得你現在要做的：
1、控制一下路由器，別讓它再把這些包轉進來；
2、等內網沒有這些數據包了，打開215抓一下，看看它乾了什麼。

沒法加Q幫你解決，咱也忙得很。我是正在分析一個IPv6的隧道，看到科來的小窗口，幫你隨便看一下……

lan4250 · 发表于 2010-9-28 18:13:26

噢，我的路由器上 NAT、DMZ都是关闭的并没有打开此功能
对的就是215 那台电脑拔线就出问题插上就正常
我查了路由器DI-7200上很多地方也打电话问过路由器厂家按照他们建议的设置都设置了还是不行

215 做的操作就是刚才说的登陆网上银行、 google.com 网站
同时我还问到他装的软件包括如下：
ADOBE PROFESSIONAL SUITE VER 9 , ---
UTORRENT ,---
GOOGLE CHROME , ---
QQ , ---
MSN , ---
GOOGLE TALK , ---
INTERNET EXPLORER ,
SKYPE , ---
COREL DRAW ,
MICROSOFT OFFICE
我现在估计 UTORRENT（BT）、SKYPE、GOOGLE TALK 这几个软件有问题目前已经做好相应的设置再观察一下。

robur · 发表于 2010-9-28 21:38:27

沒開NAT你的數據包是怎麼路由出去的……
難道你的服務商幫你把你的內網IP在公網上通告了……

你這個情況之前沒見過，不過最好還是分析分析那個主機向外發什麼數據了。

lan4250 · 发表于 2010-10-2 08:42:59

你好,节日快乐.继续问题.呵呵
路由器上有2种工作模式, 由于接入方式是ADSL 所以选择的是 NAT模式非路由模式. 215那台电脑发送什么数据如何看出? 在分析系统里专家系统看到的都是乱码.

twtitxai · 发表于 2010-10-7 03:53:57

本帖最后由 twtitxai 于 2010-10-7 03:57 编辑

是不是存在类似网络环路的情形啊

分析主机192.168.8.215的数据包：

1.在215-1.cscpkt中，前20个包不相同，但第21个包与第1个包相同（标识位都一样），第22个包与第二个包一样。。。依次类推，从21到40的包完全是前20个包的重复。。。后面的也是每20个包重复一次。。。。

2.在215-2.cscpkt中，情形和上面类似，前5个包不同，第6-10个包完全是前5个的重复。。。后面也一样，看起来那么多包，其实只有5个包在不断地重复。。

所以猜想网络是不是存在环路，或者哪种原因也会导致此情形出现
因本人是初学者，所以只是指出数据包中的现象，故障原因还得请高人分析下

sundrink3 · 发表于 2014-2-9 22:05:37

本帖最后由 sundrink3 于 2014-2-9 22:06 编辑

从标识上看，没有重复，应该不存在环路,主要还是集中在8.215，有大量的从外部80和443端口发送的小数据包，而且基本对215的每一个端口都发，因此个人估计215还是受到了DDOS攻击。至于2楼所说的8.5成了肉鸡，被装了后门软件DynGate。这是请求域名http://59.108.25.5/din.aspx?s=10 ... Gate&p=10000349
，本人也是新手，看不出来8.5的名堂，还请2楼详细介绍一下，谢谢

7layer · 发表于 2014-2-21 00:51:11

首先听了你说的情况。描述的很清晰。

1 为什么拔掉网线整个局域网都不能上网。因为这个主机现在中了ARP病毒。它现在代替了网关的MAC，你拔了这个主机。就等于网关挂了。当然整个网段都挂了。

2 你局域网内中毒，你封了现在这个，另一个中毒的主机又会发ARP。故障继续。

3 这跟路由器配置无关。

4 为什么会好！！因为你重启路由器，路由器会发免费ARP。这时候又把主机的MAC刷回正确的路由器接口MAC 。当然能好。可是中毒的主机一抢网管MAC。继续完蛋。

至于外网为什么有个IP给这个机器发数据。  劫持了网关干嘛？嗅探！嗅探的数据当然要发给后面的黑客。你下线了估计他还在企图链接。等另一个中毒的发作了。继续连接服务器。继续传你网内的信息。

科来软件在对你的数据包在诊断部分。  数据链路层

分明有感叹号！！！  写着 ARP请求风暴和 ARP 扫描

192.168.8.1 是不是你网关啊

00:26:5A：47:30:55 是不是中毒主机的MAC 啊

建议全网杀毒。

再不行你就改路由器ARP 发送频率。抢主机的MAC 表去吧。

7layer · 发表于 2014-2-21 00:57:15

本帖最后由 7layer 于 2014-2-21 00:58 编辑

另外说一句。00:26:5A：47:30:55 一看前 6 个16进制那也不是cisco 或者 h3c 啊。

那是。。。。

D-Link Corporation

D-link。。。。

你是 D-LINK 的交换机？
那我就没得说了

CSNA2014 · 发表于 2014-3-3 11:11:43

楼上的大哥我能跟你学徒吗

alew · 发表于 2017-5-26 04:59:20

哥我可以做你学徒吗？任劳任怨。带带我这个小P 孩吧！挽救俺的职业生涯拜托哥俺的企鹅 493836608 欢迎打扰

TCP重传数据包--无法控制啊,求救.

本帖子中包含更多资源

评分

评分