帮忙分析一下,谢谢

wkjyfcc88 · 发表于 2006-6-5 16:31:40

帮忙分析一下,谢谢

1,我的网络有什么问题,帮忙看一下
这个是sniffer的报告

我的局域网存在问题

局域网一台机子死机，然后这个交换机死掉，
所有连在这台交换机上的机子全部不能上网，拔掉此机的网卡
或者关机，其他机子都正常了，其他交换机不影响!!!

wkjyfcc88 · 发表于 2006-6-5 16:36:52

这个是跟上面一样的捕获
一会儿我再发一张。。

菜鸟人飞 · 发表于 2006-6-5 17:03:25

流量太大，每秒数据包太多。
你是捕获的全网的数据通讯吗？你可以单独捕获下有问题的那台故障机器试试？

菜鸟人飞 · 发表于 2006-6-5 17:06:45

另外，楼主是怎么接的，Sniffer的安装位置在哪？是否可以捕获到故障机的数据通讯？

jiesen · 发表于 2006-6-5 17:07:21

1、你先看看，哪个网卡是不是好的！
2、再看看是不是线路上形成了环，造成交换机死机！
3、换条线，或水晶头重做试试！

wkjyfcc88 · 发表于 2006-6-5 17:17:50

我把sniffer包发上来吧。。
等那个随机的机子出问题，我再捕获了再发上来
我就是接到一台共享电影的服务器上，所以流量比较大。。呵呵

wkjyfcc88 · 发表于 2006-6-5 17:38:38

发上我的sniffer的捕获文件，一共6个

[ 本帖最后由 wkjyfcc88 于 2006-6-5 18:49 编辑 ]

wkjyfcc88 · 发表于 2006-6-5 17:57:44

再发。。
第三和第四
长度不够。。

wkjyfcc88 · 发表于 2006-6-5 18:09:31

第五第六
。。。。
。。。

ValorZ · 发表于 2006-6-5 18:25:27

把你的192.168.0.2 机器关掉，你192.168.0.2发出的包，校验和都不对。而且不停的再往外面发包...

wkjyfcc88 · 发表于 2006-6-5 20:06:05

我就是用192。168。0。2来检测的。。。

wkjyfcc88 · 发表于 2006-6-5 20:07:46

好了，上面那个是网络正常时候的，
现在网络出问题了，
也找到那个机子了，但是没hub，就是再那个交换机上插上我sniffer监测pc的网线！！
所捕获的文件如下

wkjyfcc88 · 发表于 2006-6-5 21:04:27

出问题pc
ip：192。168。0。18，netbios名字：xy018

其中第四个包
也就是问题4的包，我先插上那台出问题pc的网线，捕获，
然后又插上捕获，然后又拔了。。有这个过程
但是我怕我没hub捕获不到。就可惜了，

[ 本帖最后由 wkjyfcc88 于 2006-6-5 21:13 编辑 ]

wkjyfcc88 · 发表于 2006-6-5 22:00:11

我倒，并没发现192.168.0.18的情况，再decode里面
而且mac地址：
001320c835c7
也没，是不是不用hub搞不定啊。。。
晕拉。。。55555555

wkjyfcc88 · 发表于 2006-6-5 22:01:08

抓不到包啊。。。
惨兮兮。。。。
没设备痛苦。。

菜青虫 · 发表于 2006-6-6 09:39:42

LZ第一次抓包，192.168.0.2，确实有点奇怪，

1.校验和错误
2.抓的数据包中，网络中传输最多的是64字节和1518字节的数据包。

检查一下啊

菜青虫 · 发表于 2006-6-6 11:01:57

LZ发的问题包4，202.99.192.68在ARP扫描

另外：在交换环境下和共享环境下，部署是有区别的，

一般普通交换机，直接接入检测PC，只能捕获到本机通讯的和网络中的广播

wkjyfcc88 · 发表于 2006-6-6 11:40:56

现在市场上卖得只有8口，5口得拉
看来只有买这种得？
惨兮兮。。

wkjyfcc88 · 发表于 2006-6-6 11:48:15

谢谢啊。。。
：）
不过我还是没解决问题。

wkjyfcc88 · 发表于 2006-6-6 12:08:59

原帖由 菜青虫 于 2006-6-6 09:39 发表
LZ第一次抓包，192.168.0.2，确实有点奇怪，

1.校验和错误
2.抓的数据包中，网络中传输最多的是64字节和1518字节的数据包。

检查一下啊

192。168。0。2
是文件服务器，局域网140多台电脑，有很多在看电影
所以大于1518得包很正常
但是小于64得我就不知道了
可能跟winns server有关系吧？

菜青虫 · 发表于 2006-6-6 12:10:31

关于安装部署，请LZ看下
http://www.csna.cn/forum.php?mod ... &extra=page%3D2

wkjyfcc88 · 发表于 2006-6-6 12:40:40

十分感谢菜青鸟得回复
谢谢
我今天下午买设备
看看有没有分路器tap没？

wkjyfcc88 · 发表于 2006-6-6 12:54:14

顺便问一下，分路器tap
多少钱一个？
效果如何？

ValorZ · 发表于 2006-6-6 15:53:00

原帖由 wkjyfcc88 于 2006-6-6 12:54 发表
顺便问一下，分路器tap
多少钱一个？
效果如何？

买个便宜的hub就行，50多块

菜鸟人飞 · 发表于 2006-6-6 15:57:41

原帖由 ValorZ 于 2006-6-6 15:52 发表

数据链路上的帧，默认正常的是1500字节吧,不算vlan的封装,ISL或者802.1q,1518已进过大了

这儿的1518包括了以太网帧头和FCS，即1518=源MAC(6)+目标MAC(6)+协议或长度(2)+DATA(46~1500)+FCS(4)

ValorZ · 发表于 2006-6-6 15:59:47

原帖由 菜鸟人飞 于 2006-6-6 15:57 发表

这儿的1518包括了以太网帧头和FCS，即1518=源MAC(6)+目标MAC(6)+协议或长度(2)+DATA(46~1500)+FCS(4)

对对，我记错了，1522个字节的才是有802.1q封装的vlan信息

菜鸟人飞 · 发表于 2006-6-6 16:03:24

to wkjyfcc88
从抓包来看，感觉网络的确比较混乱，网络中似乎存在许多ARP扫描（当然，网络中可能还有其它情况，但由于你当前未捕获到其它主机的TCP通讯数据包，所以使得ARP扫描显得特别多）。
从第二次抓的问题4.cap中，00:50:7F:C0:04:C0在进行ARP扫描，这是网网关的MAC地址吗？
所以网络中可能存在ARP扫描及ARP欺骗攻击，且攻击者可能在进行伪造MAC地址攻击，甚至伪造的地址可能是网关的MAC。

ValorZ · 发表于 2006-6-6 16:11:55

建议
划分VLAN减少一个冲突域中的电脑，如果不高兴配置静态IP和MAC地址绑定，那就在交换机上设置每一个端口一个VLAN，然后通过trunk和路由。呵呵，就是工作量大一点，要划分好多子网

cwym29 · 发表于 2006-6-6 16:47:05

楼主的网络好滥啊，有没有拓扑图？

wkjyfcc88 · 发表于 2006-6-11 18:54:24

终于好了
网卡配置得问题。。。
intel 100pro得，
唉。。。
奇怪得问题，奇怪得方法解决。。
7天搞定，真nnd费时。。

帮忙分析一下,谢谢

【奇怪的mac地址】

发上我的sniffer的捕获文件，6个

再发。。

第五第六

包和相关的描述

浏览过的版块