我的网络突然中断,整个网络存在大量广播包

abitggmm · 发表于 2007-4-19 11:42:41

诊断标签里显示：ARP太多请求无应答
端点标签里显示：FF-FF-FF-FF-FF-FF的数据流量最大
协议标签里显示：UDP-netbios-datagrame services数据包最大
会话标签里显示：存在大量netbios-ns数据包
图标标签里显示：利用率达到8M以上，（由于本局域网使用的是10M-HUB，基本就是局域所有带宽），

看来原因就是因为存在大量的数据报造成
但怎样确定故障点，请高人指点？

hopehands · 发表于 2007-4-19 11:44:26

网络拓扑什么样，最简单的方法：机器少的就一根一根线的拔去，看看拔掉那个恢复正常

hopehands · 发表于 2007-4-19 11:45:15

看看你的133.131，39，227几台机器

abitggmm · 发表于 2007-4-19 11:55:04

我看了的，也拔掉了这几台机器，但仍然有问题
拓扑如下：

电信——宽带路由器——hub（10M电信提供的）——交换机（4口）——桌面计算机

[ 本帖最后由 abitggmm 于 2007-4-19 11:59 编辑 ]

huajunzjg · 发表于 2007-4-19 13:44:02

129这台机看看...................

huajunzjg · 发表于 2007-4-19 13:46:41

DDos?..........................

hopehands · 发表于 2007-4-19 16:22:44

不可能ddos的。。^_^

8239141 · 发表于 2007-4-19 16:44:23

检查 227这台电脑的问题

woshisl1983 · 发表于 2007-4-19 16:46:27

我靠。ARP，日了，和我们这里早上的一样。不过我早上找到那机机器发的拉。把他关了就好了。

abitggmm · 发表于 2007-4-19 17:01:03

ARP?
不会的，我将机器关掉同样无果，且用arp -a查看，没有发现异样，只有网关一条记录，而且正确

菜鸟人飞 · 发表于 2007-4-20 09:49:24

分析工程文件后，发现楼主的网络中至少存在两个问题：

1.ARP欺骗。
这个问题是存在的，欺骗主机的MAC地址是00:14:78:B9:0B:84，被欺骗主机的MAC地址是00:16:EC:9A:16:64，如下图。

从上图可知，这是一个典型的ARP中间人攻击，目的是窃取被欺骗主机的数据通讯信息。

2.感染病毒或后门程序导致的大量发包
网络中存在大量NBDGM（UDP 138）的数据包，而这些数据包的发起者有以下4台主机，他们是192.168.1.39，192.168.1.33，192.168.1.131，192.168.1.227，且以192.168.1.39最为疯狂，如下图。

从图可知，他们的数据包的目标地址是192.168.1.255，即网络中的广播地址。这样，他们所发送的NBDGM数据包，由于目标地址是广播地址，故会发向除自己外的所有机器，从而导致网络带宽被耗费，利用率达到8M，造成断网。

建议解决方法：首先断开MAC地址为00:16:EC:9A:16:64，以及IP是192.168.1.39，192.168.1.33，192.168.1.131，192.168.1.227这几台机器，再抓包检查网络是否正常。如果仍不正常，再查看包，因为可能其它主机也被感染病毒了。

hopehands · 发表于 2007-4-20 12:42:40

呵呵，看完版主的分析，了解了分析问题的思路

逍遥一指令 · 发表于 2007-4-21 13:28:35

又跟菜版学习了一回
很受较

jiesen · 发表于 2007-4-21 22:40:15

版主案例分析的相当到位，学习！

qingxin110 · 发表于 2007-4-22 17:14:02

啊~~传说中的高手~~学习

abitggmm · 发表于 2007-5-11 12:08:25

首先，谢谢版主及各位，又为我等菜鸟进行了如此详细的分析。

经本人按照拔插法，最终确定了故障点。
网络正常时的拓扑图
电信——宽带路由器——10集线器（电信的垃圾）——办公室A（交换机1）——PC

网络故障发生时的拓扑图
电信——宽带路由器——10集线器（电信的垃圾）——办公室A（交换机1）——PC1
| |
|——————————办公室B（交换机2）——PC2

经过比较很容易发现问题：
交换机1与交换机2用网线互联，形成环路，

解决办法：
将其拔掉后，大面积断网故障现象消除；

但是：
到版主所指的机器上查看，又没有发现arp病毒，用arp sniffer查看也无果，
而且重新抓包发现，没有如此大量的广播了，
只在130机器上找到病毒，
不解ing

另外
限制用户端随意接入很有必要。
怎样才能有效的防止非法用户接入？
尤其是在保密性强的内网之中该如何做呢？
请大家不吝赐教

ipower · 发表于 2007-5-11 17:14:29

数据只有在网络TOP出来的是后才最明显啊

骑蚂蚁上高速 · 发表于 2007-5-12 14:23:48

分析得不错~~呵呵~~又学到了~~

chinaheiyu · 发表于 2007-10-23 14:02:53

因为Hub级连的个数是有限制的,并随厂商的不同而有变化。对于一个操过100台以上的网络中,如果HUB的数量超过3个(人个认为),可以说是比较麻烦地..

oldjiang · 发表于 2008-1-4 12:49:09

盯着楼主的数据包看了一个小时，终于看出了环路。定位HTTP协议，端点，流量降序，找一个流量较大的节点，有不少源、目标、大小、序列号、确认号、标志都相同而且是连续的数据包如图1。菜版说还要IP标志相同，但是视图里没有这个列，在数据包解码，找到IP标志行，点右键，生成过滤器如图2。导出再导入数据并应用刚才的过滤器，如此多试几次，完全相同的数据包少则数十个，多则上百个，证明是环路。顺带还明白了数据包值过滤器中的长度、偏移量是什么意思，图2中就是[18/2]。体会：学习真的很难。

oldjiang · 发表于 2008-1-4 12:53:35

最后，我觉得00:14:78:B9:0B:84应该是网关，因为其他机器访问外网，包的目的地址都是它。

pinyinle · 发表于 2008-1-4 14:03:10

我来支持你了！

acqua_23 · 发表于 2008-3-12 14:56:12

学习继续学习网络真是很有意思啊

我的网络突然中断,整个网络存在大量广播包

本帖子中包含更多资源

日了，和我们这里早上的一样。

本帖子中包含更多资源

本帖子中包含更多资源