5M ADSL好慢啊，请大家帮我看下！？

xxy1000 · 发表于 2007-8-7 17:49:49

编号       相对时间             源                         目标                      协议          大小       解码       概要
1          0.000000          00:17:16:01:A0:0A       FF:FF:FF:FF:FF:FF       ARP       64                   192.168.1.1 在 00:17:16:01:A0:0A
8          1.000225          00:17:16:01:A0:0A       FF:FF:FF:FF:FF:FF       ARP       64                   192.168.1.1 在 00:17:16:01:A0:0A
9          1.999879          00:17:16:01:A0:0A       FF:FF:FF:FF:FF:FF       ARP       64                   192.168.1.1 在 00:17:16:01:A0:0A
13       2.999851          00:17:16:01:A0:0A       FF:FF:FF:FF:FF:FF       ARP       64                   192.168.1.1 在 00:17:16:01:A0:0A
16       3.999796          00:17:16:01:A0:0A       FF:FF:FF:FF:FF:FF       ARP       64                   192.168.1.1 在 00:17:16:01:A0:0A
17       4.999761          00:17:16:01:A0:0A       FF:FF:FF:FF:FF:FF       ARP       64                   192.168.1.1 在 00:17:16:01:A0:0A
21       6.005747          00:17:16:01:A0:0A       FF:FF:FF:FF:FF:FF       ARP       64                   192.168.1.1 在 00:17:16:01:A0:0A
24       6.999685          00:17:16:01:A0:0A       FF:FF:FF:FF:FF:FF       ARP       64                   192.168.1.1 在 00:17:16:01:A0:0A
27       7.999650          00:17:16:01:A0:0A       FF:FF:FF:FF:FF:FF       ARP       64                   192.168.1.1 在 00:17:16:01:A0:0A
29       8.999641          00:17:16:01:A0:0A       FF:FF:FF:FF:FF:FF       ARP       64                   192.168.1.1 在 00:17:16:01:A0:0A
33       10.000192       00:17:16:01:A0:0A       FF:FF:FF:FF:FF:FF       ARP       64                   192.168.1.1 在 00:17:16:01:A0:0A
34       10.999530       00:17:16:01:A0:0A       FF:FF:FF:FF:FF:FF       ARP       64                   192.168.1.1 在 00:17:16:01:A0:0A
36       11.999514       00:17:16:01:A0:0A       FF:FF:FF:FF:FF:FF       ARP       64                   192.168.1.1 在 00:17:16:01:A0:0A
40       12.999468       00:17:16:01:A0:0A       FF:FF:FF:FF:FF:FF       ARP       64                   192.168.1.1 在 00:17:16:01:A0:0A
45       13.999441       00:17:16:01:A0:0A       FF:FF:FF:FF:FF:FF       ARP       64                   192.168.1.1 在 00:17:16:01:A0:0A
46       14.999411       00:17:16:01:A0:0A       FF:FF:FF:FF:FF:FF       ARP       64                   192.168.1.1 在 00:17:16:01:A0:0A

大约30台机子，本机IP是1.87                         00:17:16:01:A0:0A       为路由MAC

PING QQ.COM 有丢包现象，P值较高，100～900

palm · 发表于 2007-8-7 19:22:54

楼主应该没有做端口镜像吧？不然矩阵图不会是这个样子。

seagoing · 发表于 2007-8-8 09:04:23

是不是00:17:16:01:A0:0A 这台机器有病毒啊，中arp了？

palm · 发表于 2007-8-8 09:06:52

楼主说： 00:17:16:01:A0:0A 为路由MAC

如果不是路由，则可能是欺骗。

huamao2006 · 发表于 2007-8-8 09:28:18

注意一般的ARP响应包都是单播，而LZ所看到的是广播ARP响应数据包，这个数据包肯定是人为造成的，这种情况无非就2种可以解释。

第一种就是路由器为了防止ARP攻击，在路由器上实现一个广播ARP，告诉网内所有的PC，我是网关，请不要被其他的病毒欺骗。

第二种就是PC上中了病毒什么的，或者是ARP欺骗，想获取全网的信息，它向网络内的PC发送ARP广播，假称自己是网关，以达到欺骗的目的。

查找问题的办法，首先看网关是否在发这个包，排除路由软件的问题，排除了路由器的问题后，那就敢肯定是内网的PC的问题了，其次在网内进行排查，找到发送ARP欺骗包的PC。

[ 本帖最后由 huamao2006 于 2007-8-8 09:32 编辑 ]

菜鸟人飞 · 发表于 2007-8-8 09:41:33

编号       相对时间             源                         目标                      协议          大小       解码       概要
1          0.000000          00:17:16:01:A0:0A       FF:FF:FF:FF:FF:FF       ARP       64                   192.168.1.1 在 00:17:16:01:A0:0A
8          1.000225          00:17:16:01:A0:0A       FF:FF:FF:FF:FF:FF       ARP       64                   192.168.1.1 在 00:17:16:01:A0:0A
9          1.999879          00:17:16:01:A0:0A       FF:FF:FF:FF:FF:FF       ARP       64                   192.168.1.1 在 00:17:16:01:A0:0A
13       2.999851          00:17:16:01:A0:0A       FF:FF:FF:FF:FF:FF       ARP       64                   192.168.1.1 在 00:17:16:01:A0:0A
16       3.999796          00:17:16:01:A0:0A       FF:FF:FF:FF:FF:FF       ARP       64                   192.168.1.1 在 00:17:16:01:A0:0A
17       4.999761          00:17:16:01:A0:0A       FF:FF:FF:FF:FF:FF       ARP       64                   192.168.1.1 在 00:17:16:01:A0:0A

从楼主给出的上述信息可知，此ARP包的间隔时间为1分钟左右，即1分钟发送一次此ARP数据包。
如huamao2006所言，此ARP数据包不同于理论上的正常ARP包，其目标为广播地址，但内容是回应的内容，这说明它是为了告诉全网所有机器，我是网关，也就是huamao2006的第一种解释。所以，楼主现在ADSL慢的原因，推测和ARP欺骗的关系不大，可能是其它原因造成。

楼主是否做过如下实验：
1.将安装科来的笔记本直接接在ADSL内口测试，即不接入内部局域网，单点测试电信线路的速度？
2.接入内部局域网时，局域网间的访问速度如何？
3.是否捕获并分析过一个应用层的会话，比如访问一个网页？

xxy1000 · 发表于 2007-8-8 10:05:00

我用的是侠诺100路由，激活了防ARP攻击功能，路由中有个限制上传和下载的总带宽的设置，我设置的是上传4096Kb/s和40960Kb/s(5M带宽)不知是否正确？网络主要用来浏览网页和FTP上传文件，最近FTP上传很慢，让人难以忍受。。。。。。。。。

xxy1000 · 发表于 2007-8-8 10:27:30

编号          相对时间                   源                                  目标                                  协议          大小          解码       概要
3788       0.000000                192.168.1.87:1532                   www113.clickeye.cn:www-http       HTTP       82                      序列号=3788612962,确认号=0000000000,标志=....S.,长度= 0,窗口= 8192
3953       2.938124                192.168.1.87:1532                   www113.clickeye.cn:www-http       HTTP       82                      序列号=3788612962,确认号=0000000000,标志=....S.,长度= 0,窗口= 8192
3985       3.465321                www113.clickeye.cn:www-http       192.168.1.87:1532                   HTTP       64                      序列号=0420858022,确认号=3788612963,标志=.A..S.,长度= 0,窗口= 5840
3986       3.466376                192.168.1.87:1532                   www113.clickeye.cn:www-http       HTTP       64                      序列号=3788612963,确认号=0420858023,标志=.A....,长度= 0,窗口= 8712
3987       3.478913                192.168.1.87:1532                   www113.clickeye.cn:www-http       HTTP       379                      C: GET /js.js?address=http%3A%2F%2Fent.qq.com%2Fa%2F20070808%2F000023.htm HTTP/1.1
4006       3.722487                www113.clickeye.cn:www-http       192.168.1.87:1532                   HTTP       64                      序列号=0420858023,确认号=3788613284,标志=.A....,长度= 0,窗口= 6432
4010       3.733697                www113.clickeye.cn:www-http       192.168.1.87:1532                   HTTP       1,510                   S: HTTP/1.0 200 OK
4011       3.735042                www113.clickeye.cn:www-http       192.168.1.87:1532                   HTTP       1,104                   S: 继续或非HTTP通信, 1046 字节的二进制数据
4012       3.736323                192.168.1.87:1532                   www113.clickeye.cn:www-http       HTTP       64                      序列号=3788613284,确认号=0420860521,标志=.A....,长度= 0,窗口= 8712
4013       3.736417                www113.clickeye.cn:www-http       192.168.1.87:1532                   HTTP       64                      序列号=0420860521,确认号=3788613284,标志=.A...F,长度= 0,窗口= 6432
4014       3.737482                192.168.1.87:1532                   www113.clickeye.cn:www-http       HTTP       64                      序列号=3788613284,确认号=0420860522,标志=.A....,长度= 0,窗口= 8712
4041       3.965075                192.168.1.87:1532                   www113.clickeye.cn:www-http       HTTP       64                      序列号=3788613284,确认号=0420860522,标志=.A...F,长度= 0,窗口= 8712
4073       4.539289                www113.clickeye.cn:www-http       192.168.1.87:1532                   HTTP       64                      序列号=0420860522,确认号=3788613285,标志=.A....,长度= 0,窗口= 6432
5068       00:01:29.220768       192.168.1.87:1628                   www113.clickeye.cn:www-http       HTTP       82                      序列号=0650844505,确认号=0000000000,标志=....S.,长度= 0,窗口= 8192
5092       00:01:29.951210       www113.clickeye.cn:www-http       192.168.1.87:1628                   HTTP       64                      序列号=0506099134,确认号=0650844506,标志=.A..S.,长度= 0,窗口= 5840
5093       00:01:29.952376       192.168.1.87:1628                   www113.clickeye.cn:www-http       HTTP       64                      序列号=0650844506,确认号=0506099135,标志=.A....,长度= 0,窗口= 8712
5094       00:01:29.962504       192.168.1.87:1628                   www113.clickeye.cn:www-http       HTTP       379                      C: GET /js.js?address=http%3A%2F%2Fent.qq.com%2Fa%2F20070808%2F000029.htm HTTP/1.1
5121       00:01:30.588246       www113.clickeye.cn:www-http       192.168.1.87:1628                   HTTP       64                      序列号=0506099135,确认号=0650844827,标志=.A....,长度= 0,窗口= 6432
5122       00:01:30.592968       www113.clickeye.cn:www-http       192.168.1.87:1628                   HTTP       1,510                   S: HTTP/1.0 200 OK
5123       00:01:30.594018       www113.clickeye.cn:www-http       192.168.1.87:1628                   HTTP       275                      S: 继续或非HTTP通信, 217 字节的二进制数据
5124       00:01:30.595208       192.168.1.87:1628                   www113.clickeye.cn:www-http       HTTP       64                      序列号=0650844827,确认号=0506100804,标志=.A....,长度= 0,窗口= 8712
5125       00:01:30.595249       www113.clickeye.cn:www-http       192.168.1.87:1628                   HTTP       64                      序列号=0506100804,确认号=0650844827,标志=.A...F,长度= 0,窗口= 6432

www113.clickeye.cn:www-http       这个地址我没有上啊，怎么显示我的1.87地址呢？

zealotcc · 发表于 2007-8-8 12:09:05

请参考提问格式给出相关信息并上传数据包
http://www.csna.cn/forum.php?mod ... &extra=page%3D1

xxy1000 · 发表于 2007-8-8 13:33:32

1、  问题描述
　　5M ADSL总体上网速度缓慢，尤其是FTP上传一般只有4K左右。。。。。。。。

2、  网络拓扑结构
　　ADSL---------侠诺100路由－－－－－－24口交换机－－－－－约30台客户端（有小交换机）

3、  列出网络中关键设备/节点/服务器的名称、IP、MAC
　　如：网关　192.168.1.1－－－－－－－－－－－－00:17:16:01:A0:0A
         捕获 PC 192.168.1.87－－－－－－－－00：00：E8:5C:0F:B8
   　

[ 本帖最后由 xxy1000 于 2007-8-8 13:51 编辑 ]

xxy1000 · 发表于 2007-8-9 08:47:55

那我直接将装科来的机器连接到路由上呢？？？？试试看。。。。。。。。。。

xxy1000 · 发表于 2007-8-10 09:06:49

为什么好多诊断出的事件都是本机1.87呢？难道是本机有问题嘛？（本机装有科来软件，直接连在路由上）

cwym29 · 发表于 2007-8-10 13:36:16

楼上的路由器是宽带路由器吗？宽带路由器各端口间是交换模式，如果接在这儿，需要配置端口镜像才行的啊，

xxy1000 · 发表于 2007-8-11 11:24:24

是宽带路由，侠诺100的～～～～～～～～～～～？？？？？？

chlsh · 发表于 2007-8-11 16:17:48

5M带宽

应该是5*1024kb=5120kb(不是40960Kb)吧!

xxy1000 · 发表于 2007-8-13 09:55:09

原帖由 chlsh 于 2007-8-11 16:17 发表
5M带宽

应该是5*1024kb=5120kb(不是40960Kb)吧!

KB 和 kb 不一样哦！！！！！

xxy1000 · 发表于 2007-8-13 13:26:11

xxy（本机）只开了科来分析软件、ARP防火墙和卡巴斯基并且一中午没人用（被锁），可当我回来发现有900多个地址连接着本机，还在不断的增加中。。。。。。。

[ 本帖最后由 xxy1000 于 2007-8-13 13:27 编辑 ]

xxy1000 · 发表于 2007-8-13 18:26:21

关闭ARP防火墙后，开机4小时没有使用，监控情况如下图，好像被人攻击啊，晕啊。。。。。

xxy1000 · 发表于 2007-8-14 10:33:13

没人解答嘛？？？？？

naboo · 发表于 2007-8-14 16:36:00

1、内网有毒，常见
2、内网有人使用P2P软件，上行流量过大，由其是你用ADSL线路，上行可没有5M带宽哪，常见
3、网络设置问题，如：端口协商等，常见