上传数据包，帮我分析（已能正常下载）

cxmzlxb · 发表于 2007-4-13 12:39:07

终于做了端口镜像，抓包成功了，请帮我分析一下，我的218是电影主服务器，220是资源服务器+CS外网服务器，246是收银机，248是网安之星，217是游戏服务器，251是路由，帮我查看一下，这由什么引起的，最近PING交换机老掉包，不过PING路由和外网没发现，用WWW.benchmark.avl.com.cn的测试软件测试，不用CMD　PING任何IP的时候大部分不会掉包和延时，但是PING发现掉包一般都在20%。延时一般也在70多，不知道是什么原因？交换机还是哪的原因？如果是ARP，要怎么防？？？

我在220和218用NOD32最新版的瑞星和金山的免费在线查毒，查不出什么毒，进程里我也看不到有什么可疑进程，但是他们的流量大得吓人，不知道为何？？？？
我的QQ:63063177，邮箱：cxmzlxb@qq.com，希望你们帮帮我，再不解决就得下岗了。

抓的包太大了，我只有提供HTTP下载：
http://218.19.130.19/download/工程1.rar

刚才又抓了一个包，218和220还是不正常，大家帮我分析，218是电影主站，220是电影资源站，外带CS外网服务器，232是网管用的机子，在下BT，开了3个种子在下载。
工程文件用HTTP提供，太大了
http://218.19.130.19/download/工程2.rar

以下是断开电影的外网抓的包，请大家帮我分析一下
http://218.19.130.19/download/工程3.rar

KelvinFu · 发表于 2007-4-13 14:41:49

在LZ提供的工程1和工程3，没有看出什么明显的问题！

但是在工程2中，大概存在下面两个情况，简单分析如下：

1. ARP攻击
首先，我们打开文件“工程2”后，查看诊断视图，如下图。

arp attack

由于你网络中流量比较大，相关的数据包信息都被冲掉了，所以不好定位的哪台主机。

2. 192.168.0.127可能存在扫描攻击
我们继续查看诊断视图，发现有大量的“FTP可疑的会话”很多，达到了8720。似乎有点不正常哟！如下图。

Ftp Non-Ftp Traffic

查看端点视图，按网络连接排序，我们发现192.168.0.127的网络连接相对其他主机较多，达到10344，有点不正常。如下图。

Endpoints View

于是，我们定位到了192.168.0.127，查看会话视图中的TCP会话，如下图。

Conversations View

会话视图中，我们看到，192.168.0.127，是否中毒，LZ可以先将其断网隔离检查！

Postscript: 192.168.0.232，似乎也有点问题！！

[ 本帖最后由 KelvinFu 于 2007-4-13 14:54 编辑 ]

cxmzlxb · 发表于 2007-4-13 15:04:50

谢谢！232在下BT，所以应该是正常的，127就不正常了，FTP能查看到是哪台机吗？？？？虽然我们边有FTP，不过不应该有这样大的连接，因为很少人知道！

KelvinFu · 发表于 2007-4-13 15:43:01

原帖由 cxmzlxb 于 2007-4-13 15:04 发表
谢谢！232在下BT，所以应该是正常的，127就不正常了，FTP能查看到是哪台机吗？？？？虽然我们边有FTP，不过不应该有这样大的连接，因为很少人知道！

BT这类P2P下载软件是非常占用网络带宽的,你可以将你推断的异常主机先断开你的网络,看网络是否这个常.

cxmzlxb · 发表于 2007-4-13 17:20:35

主要是看发送的数据包，接收的包大有没有影响？？？

62900015 · 发表于 2007-8-11 03:27:20

一句话,被DOOS了

上传数据包，帮我分析（已能正常下载）

回复 #4 KelvinFu 的帖子