本帖最后由 xinism 于 2011-11-10 17:33 编辑
我先说说公司网络结构: 核心是三层交换机做的,配置了三个VLAN。核心下面三个接入交换机,每个楼层划*********一个VLAN,对应一台交换机。
一楼和二楼没问题,只有三楼(即VLAN 30)有问题,三楼网关是192.168.1.254。
事件:
昨天早上,接到同事电话,他的台式机不能上网慢,安装的是XP系统,QQ上了后会立即掉线,网页打开很慢。
开始以为是IP地址有冲突,要他重启电脑后就行了。
过了两小时吧,两个老总的笔记本均无法上网,都是WIN 7的系统。
现象:
1.能获取到IP地址;2.能PING通网关和DNS地址;3.能PING通三个VLAN内的其它电脑;4.PING不通百度域名,偶尔能PING通一次。 过一会儿,又有两台WIN 7的本本不能上网,于是先杀毒,先后用了 360、金山、MSE、微点,都没有发现病毒,ARP防火墙也没有提示。
运行网络岗抓包工具,发现大量的UDP包,目标地址全是保留地址。ARP请求正常,排除ARP攻击。
A老总的IP地址是固定的,为192.168.1.90 ,为了测试,我把自己电脑的IP也设为192.168.1.90,把他的网线连上我的电脑,能上网,PING测试正常,抓包正常,没有通向那几个保留地址的UDP包,说明不是网线的问题。也不是IP的问题。
现在这四台问题电脑只要有其中一台连上网线,接入交换机的灯狂闪,并有大量的UDP包,目标地址有以下几个: 224.0.0.22 224.0.0.252:5355 239.255.255.250:1900 。目标地址为239.255.255.250:1900的UDP包不是很多;每秒几千条的UDP包主要是发送到224.0.0.2 和224.0.0.252:5355去了。
我在百度上找了半天,有这种的案例,但没有解决方法。
虽然抓包软件显示包的类型为UDP,但翻看以前的案例,应该是UPNP和SSDP引起的。 于是我在其中一台机器上禁用了UPNP和SSDP的三个服务,也就是网络发现协议。
打开网络岗,数据流在1KB/s以下,和平时一样正常。我立即给那台禁用了SSDP的本本插上网线,把它的IP固定为192.168.1.179,可不到两秒种,数据流就狂飙到几百KB/s,上下幅度很大。我马上拔掉网线,再看抓包软件,UDP包依然在发送,交换机也狂闪,在一分多种后,192.168.1.179发送UDP的行为停止了,交换机恢复正常。
大家说怪不怪,网线拔后一分多种,数据流依然存在。
后来我设置了微点的防火墙规则,只允许PING,其它的拦截。再给那台本本插上网线,上网正常,抓包也正常,没有影响到网络。为了让它“发作”,我在自己电脑上进行了PING测试、NBTSTAT -A 计算机名解析、又在那台电脑上进行测试,都不能让他发作。 软的不行,就来硬的。 我拔掉网线,再插上,几秒种后,网络上的UDP包一下就起来了,192.168.1.179和192.168.1.203大量数据包通向保留地址。说明一下,1.179和1.203都是那台电脑的,1.203是无线网卡。
现在这几台有问题的电脑,只能通过无线上网临时解决一下,不能接入有线网络。这里有意思的是,无线上网正常,抓包也没有异常!
整到下午,我自己的本本也出现这样的情况了。只要拔下网线再插上,数据量就会很大,连网都上不了,几分钟后就OK了。
求论坛里在能人分析一下,看是什么问题。用科来查不出问题所在,由于数据包过大,我只能贴几张图,能帮助的朋友请加我QQ274525342,可以提供数据包。
|
发表于 2011-11-5 16:45:47