给大家添麻烦了，请帮忙看看这个包~！

keermimi · 发表于 2007-9-17 23:24:16

近来一段时间网吧老有人叫卡，ping路由 / 到电信网关的时候发现。
路由和网关同时掉，就更不要提DNS通不通了。
早在去年10月的时候，有次我们被人攻击，看到电信的人本本上有“科来”，后来我就自己搜索了一下，也下了试用版。
可是从那时侯到现在一直正常，也因为事务比较繁忙，没怎么专心的来学习“科来”。
这段时间不定时的掉线，掉的时候我是直接ping网关的，没有ping DNS。因为我认为，网关都不通，就没必要去ping DNS。不知道对否？
掉的时候是一次掉几个包，然后恢复一个，再掉几个这样循环。持续时间大概在5分钟左右。
有时候如果上网的人叫得太多，就直接把路由给重启了。就会马上就又好了
说到这里我提一下，路由是飞鱼星4100+，升级了官方的最新固件包。内网所有机器执行了IP-MAC双绑。年初的时候 ARP肆虐的时候，我就这样绑的，都没出现过现在的这种掉线情况。另外我在一台专用机器上装了彩影的一个叫antiarp的软件，没有发现有内网ARP攻击。
飞鱼星官方论坛斑竹给了我一个建议，说是让我在掉线的情况下（因为不是完全掉，严格点来说就是“卡”）。使用路由自身的“外网检测功能”来ping 外网的网关。如果路由的检测功能显示能通，内网有机器掉，代表内网有攻击或是病毒。如果路由检测功能ping外网网关不通，让我查线路。
让电信来看了，他们一致认为我有毒。说是他们用科来抓到的。因为在科来的“诊断”里有项叫“IP包生存周期太短”。我也不知道这代表着什么，意味着什么。他们说我有ARP。我重做了所有内网系统，包括服务器在内，还是老样。唉，大概有半个月了，觉也没睡过好安稳的，身心疲惫。
希望坛子里的朋友帮忙分析一下我今天刚抓的包。帮我看看到底有没有ARP 或是其他的内网攻击因素。
对科来不是很懂操作，对网的相关术语懂得不是很多。给大家添麻烦了，谢谢！！

只是一个神话 · 发表于 2007-9-17 23:55:19

222的机器流量好大啊，是什么机器啊？
ANTIARP装在哪台机器上了，IP和MAC地址是多少？
192.168.1.1是什么机器，上面是不是装了什么MAC地址扫描软件？

另外路由下面有无交换机？如果有，PING一下内网的其它机器，看看掉不掉。如果不掉，建议LZ直接抓取外网的数据包。还有PING的时候延迟大不大？

keermimi · 发表于 2007-9-18 00:04:31

回斑竹
222的机器，是一个内网的电影服务器
ANIARP在192.168.1.2 MAC为00:E0:A0:03:EB:67
192.168.1.1是路由没有装MAC地址扫描软件。是执行了路由里的 “地址绑定”功能
其他机器做了P处理开机运行格式为
arp -d
arp -s 192.168.1.1 XXXXXX(路由MAC)

[ 本帖最后由 keermimi 于 2007-9-18 00:06 编辑 ]

只是一个神话 · 发表于 2007-9-18 00:25:58

192.168.1.1的MAC地址是00 3C 01 50 53 1F吗？既然绑定了，就不应该再有ARP扫描了啊！

另外LZ可以用PING来查看网络原因是出在外部还是内部或是路由器上
比如：1、ping 内网某机器IP 如果出现掉线，说明问题出在内部，包括内部线路，接入层交换机等
2、ping 路由器上的两个IP 这里的路由器指的是网关机器，网关机器有两个IP的，一个是内网的网关IP，一个是公网IP，如果第1步PING下来没问题，第二步掉包了，那可能就是路由器问题。
3、ping 外网IP地址，如果前面都没问题，ping外网出现掉包，就是外部线路问题。
另外如果PING的时候延迟很大（也就是TIMEOUT值很大）那可能是设备性能不好，或是网络流量过大而导致的卡或是偶尔的掉包。

weekendlong · 发表于 2007-9-18 00:35:39

不好意思我是新手看看高手怎么说

[ 本帖最后由 weekendlong 于 2007-9-18 00:38 编辑 ]

keermimi · 发表于 2007-9-18 00:40:50

拓扑结构图我也不知道怎么表达了。还是描述一下吧，希望斑竹能看得懂。
硬件设施：
飞鱼星4100+
光纤收发器
ADSL猫（电信附赠8M）
金浪KN-S1008G主交换机（8口全千兆普通交换机，无管理功能）
金浪KN-S1026PG *3  （2[千兆]+24[百兆]底层交换机）
无盘服务器*2，都为双千兆INTEL网卡
收费机 192.168.1.2
电影服务器 192.168.1.222

连接形式为：  4100+为双WAN口路由，所以WAN1为光纤  WAN2为ADSL
路由的LAN1做了端口镜像，所以内网里每台机器都可以使用科来抓包
路由LAN1 无盘服务器A B 的LAN口共4条千兆网线金浪KN-S1026PG *3 的底层交换机千兆口
共8条网线接入金浪KN-S1008G主交换机。
其他机器全在金浪KN-S1026PG *3 的底层交换机上，包括收费机和电影服务器。

“192.168.1.1的MAC地址是00 3C 01 50 53 1F吗？既然绑定了，就不应该再有ARP扫描了啊！”---我在科来里也看到了相关的东西后边写的是“谁是192.168.1.X告诉192.168.1.1  XXX”，我理解的是，路由起用“地址绑定”后，它是否要发广播包？我在其他朋友的用该型号的路由里也看到过该组数据。不知道是不是路由的工作模式决定了这样？

   不知道斑竹能否简单点告诉我，现在我内网里是否有病毒？？我对科来掌握很不好，对不起了，添麻烦了。

sivalei · 发表于 2007-9-18 00:48:03

哎。。。。
1.1的mac是飞鱼星的路由在ieee都没注册，果然够山寨。

1、回“版主” 绑定也会做arp send 防arp欺骗；
2、最好对电影服务器做上行限速，对nat数做限制，对所有采用p2p更新的电影服务器，游戏服务器，对比更新服务器做上行限制，下行也要限制，nat数限制
3、请关注你的带宽是否足够，有没有因为流量太大
4、对每个ip做限速，并实时查看流量
5、做acl 规则，防病毒
6、查看交换机或路由器上做了端口镜像是否错误，一个端口监控多个端口是不对的
7、全千兆网络么？
6、

keermimi · 发表于 2007-9-18 01:01:41

有没有在IEEE注册我也无法控制，因为飞鱼星的官方客服在回答问题的时候要求提供路由序列号，只要我提供的没错误，我也不管那么多了。
1：因为真的是现在拿CSNA当救命草了，当时回我贴的时候只有斑竹一人，所以我在回贴的时候才加上了“斑竹”。没有对其他会员有不敬的意思，对不起。~
2：电影服务器是我自己做的，通过IIS搭建的一个WEB。都是自己下电影，这段时间忙着搞“卡”的问题，一直没更新电影了。全网吧都是无盘，不需要做对比更新，平时只有我手动更新游戏
3：我们开通的是电信光纤10M。工作站系统我做了限制，路由里封了迅雷及其他P2P软件，带宽应该不会超负荷。因为一直都是这样在使用，没有谁在大量下东西。如果流量过大，路由里我能看到的。这几天一直在观察没发现异样。
4：这点我也在考虑中，谢谢提醒。
5：做这个有点难度，具体怎么做还得问飞鱼星要技术资料。有这功能，我没怎么用。
6：交换机无管理功能，所有管理功能都在路由上，我只开启了LAN1为监视端口。不知道对否？
7：主千兆。百兆到桌面。请看我6楼的硬件叙述。

sivalei · 发表于 2007-9-18 01:02:06

建议选择监控2方式，如果公安监控允许的话

另外这个路由器是100m的lan 建议所有机器接核心交换机和分支交换机上，不要在飞鱼星的lan口上接游戏，对比更新，电影等服务器。

公安监控和文化监控需要装在lan口上。

对每个ip做限速。

另外你测试下你无盘的系统测速在多少，30m？50m？还是多少，卡的时候无盘在多少？

sivalei · 发表于 2007-9-18 01:12:57

你既然说电影服务器没有更新，那么怎么有那么多对外 80端口的 1472字节的包，明显是迅雷在下载。

以后抓包的时候不要下载，其它机器上网的流量根本没有监控到。

请监控下联核心交换机的那个端口。

整个包就抓到1.222和1.67对外的流量，而1.67的包在缓存区里都没了，只有图例里有，而且估计也是在下载p2p

sivalei · 发表于 2007-9-18 01:15:50

我看了下这个路由器的介绍 200台机器的带机量，你多少台，从你ip看起码有222台左右。

如果是这样，厂家都说200台估计够呛。

其实飞鱼星也就套个web界面的linux外壳，性能一般，没啥特殊功能。

sivalei · 发表于 2007-9-18 01:16:27

Here are the results of your search through the public section of the IEEE Standards OUI database report for 00-3C-01:

Sorry!

The public OUI listing contains no match for the query 00-3C-01
Please back up to the search page and try again.

我说的ieee是这个，它的mac都没有申报的

keermimi · 发表于 2007-9-18 01:17:35

我机器只有100
只是我划分IP的时候，中间有空位
我也想过把路由的LAN1接到下边的底层交换机上，这样和接在主交换机上有什么不同呢？

sivalei · 发表于 2007-9-18 01:18:44

lz的带宽10m不是很富裕，应该是内地的网吧，做好监控，估计是超过流量丢包了。

如果是外网攻击，就看你飞鱼星支不支持外网口的监控功能；

sivalei · 发表于 2007-9-18 01:30:38

按照我传的图做，但考虑到你以前那么组网也没有问题，你先想想出问题前对整个网络做过什么配置，有什么改动，是不是改动引起的

keermimi · 发表于 2007-9-18 01:34:26

在你的图的基础上，去掉 4100+的LAN2出口那条线路
就和我现在的一样了
没有变动过。一直都这样的，改无盘都是2个月前了。以前是没有8口核心交换，直接是3个底层交换机一一串联。

sivalei · 发表于 2007-9-18 01:42:46

改无盘后测速过没有，在客户机上用硬盘测速软件测试下，平均多少m

把核心交换机替换成有流控的交换机。不知道金浪的交换机支不支持流控。

估计是千百兆对接流控问题，在飞鱼星的lan1口上有没有流控的选项。

keermimi · 发表于 2007-9-18 01:42:55

原帖由 sivalei 于 2007-9-18 01:18 发表
lz的带宽10m不是很富裕，应该是内地的网吧，做好监控，估计是超过流量丢包了。

如果是外网攻击，就看你飞鱼星支不支持外网口的监控功能；

那如大侠所说，我的内网病毒可能性很小？
我也觉得是，因为以前有盘的时候中过ARP，我发觉这次和上次不一样。只是心理感觉，说不上来
对网络方面比较菜，不好意思

sivalei · 发表于 2007-9-18 01:45:50

睡了，网吧掉线就比较烦人，卡凑合用吧～

这个金浪的8口最好再换个有网管的8口测试下，要有流控的那种，打开与飞鱼星 lan1相连的端口流控功能再测试下。

keermimi · 发表于 2007-9-18 01:47:31

原帖由 sivalei 于 2007-9-18 01:42 发表
改无盘后测速过没有，在客户机上用硬盘测速软件测试下，平均多少m

把核心交换机替换成有流控的交换机。不知道金浪的交换机支不支持流控。

估计是千百兆对接流控问题，在飞鱼星的lan1口上有没有流控的选项。

无盘的速度是不需要路由支持的，它是通过IPX协议，网络中只要服务器开启，有最最普通交换机和客户机连接的时候，客户机都可以启动的。
客户机的速度已经到极限了，突发在11左右平均也就是10M上下，因为是千兆主干，百兆到桌面。
核心交换机的型号我专门去官方网站看了，无任何管理功能 “背板带宽16G”，完全足够了，因为一台工作站启动，对服务器的回写数据只有100M左右。100*100台=10G。这是全工作站同时启动的理论数据，实际可能不会同时进来100个客人同时开机启动。
启动之后就是玩游戏什么的，流量都很小，在无盘服务器上可以看到流量。

只是一个神话 · 发表于 2007-9-18 01:51:23

网吧那些东西我没接触过，也不大懂。不过一般网络问题就那几大类，要么是ARP攻击，要么是网络资源被不正当使用（下BT、迅雷之类的），要么是线路和设备问题，要么是外网受到攻击了。对于ARP攻击，你的数据包中并没有。而且你做过双绑了。是不是有在下BT或迅雷，我想你的网络中应该存在的，至于是不是因为这个原因这个原因导致的，解决方法很简单，把它停掉，看看网络是否正常。如果是线路和设备问题，你可以用PING测试一下，有条件可以换台设备，如果是外网攻击，那就搞台PC直连外网进行抓包，如果什么都没开却接收到N多数据包，那就可能是外网攻击了。

sivalei · 发表于 2007-9-18 01:54:22

我说的是两个问题
1、千百兆对接问题是指交换机和路由器对接问题
2、客户机和无盘服务器是否正常是另外一个问题

背板带宽不要去看，那是对插卡的路由交换设备，对于只有一个背板的交换机，都是线速，不线速才奇怪。

我没啥好建议了，建议楼主拿个带流控的核心交换机测试下

keermimi · 发表于 2007-9-18 01:54:54

也只好这样了。首先排除病毒可能性
然后再从外部因素和硬件方面考虑
谢谢你们的帮助。第一次来CSNA就遇到热心人。感动！~~~
我离成都并不远 1个多小时车程就到了。
以后问题解决了，我会再来翻下这黄历，把具体原因放上来给以后的朋友借鉴！
感谢科来，感谢CSNA的朋友们！

[ 本帖最后由 keermimi 于 2007-9-18 01:56 编辑 ]

只是一个神话 · 发表于 2007-9-18 02:06:19

LZ你今天发帖发的太晚了，大家都不在了。明天会有更多的人来为你分析解答的。

keermimi · 发表于 2007-9-18 02:13:07

原帖由 只是一个神话 于 2007-9-18 02:06 发表
LZ你今天发帖发的太晚了，大家都不在了。明天会有更多的人来为你分析解答的。

那我先说声谢谢啦！睡觉了，几天都没睡好了。

qzyuanmu · 发表于 2007-9-18 09:01:38

楼主的现象很可能是电影服务器造成的的，
具此，建议
一，把电影服务器放到核心交换机上，改千兆网络（用好点的千兆网卡，制作一定要规范，用1000-BASET）
二，改进流媒体的编码和解码速度，用比较专业点的软件
另外感觉飞鱼是不是有什么地方没配好，ARP 请求风暴？
干脆改成 255.255.255.128的子网掩码吧 126台应该够用了

xmubbs · 发表于 2007-9-18 10:41:27

名称                计数
TCP太多重传       4,254
TCP慢应答       8,939
TCP重传数据包       9,187
ICMP端口不可达       2,096
IP包生存周期太短       4,345

前面打多数是网络拥堵造成，222需要更多带宽

但是
严重程度       协议层       事件                               源                   源端口                目标                目标端口             数据包
注意          网络层       IP包生存周期太短(请看数据包  5034564)       192.168.1.34       cslistener       224.0.0.1       cslistener       5034564

这个1.34发所有主机的cslistener是在干嘛

keermimi · 发表于 2007-9-18 10:48:58

原帖由 xmubbs 于 2007-9-18 10:41 发表
名称                计数
TCP太多重传       4,254
TCP慢应答       8,939
TCP重传数据包       9,187
ICMP端口不可达       2,096
IP包生存周期太短       4,345

前面打多数是网络拥 ...

和玩CS上迪酷的有没关系？？
我查了下224.0.0.1的IP 说是一个组播地址。

xmubbs · 发表于 2007-9-18 11:15:19

原帖由 keermimi 于 2007-9-18 10:48 发表

和玩CS上迪酷的有没关系？？
我查了下224.0.0.1的IP 说是一个组播地址。

是组播没错，问题是拼命发，不知道干什么，查一下1.34

sivalei · 发表于 2007-9-18 11:57:10

在无网管的交换机上组播以广播形式发，考察下流量太大，会对交换机和路由器的性能有影响。

包我没看了，频率不高也没关系

给大家添麻烦了，请帮忙看看这个包~！

回复 #7 sivalei 的帖子