瑞星2008个人防火墙引起的网络堵塞，如何排查？（最新情况）

dushh · 发表于 2007-11-30 11:38:48

最近一个月公司网络一直不正常，经常出现交换机满负荷状态，局域网内ping包，延时高而且掉包。
最近看到2篇新闻，怀疑是瑞星2008个人防火墙的arp攻击防御功能引起。
相关连接
http://www.cnbeta.com/articles/43827.htm
http://www.cnbeta.com/articles/43913.htm

今天早上，局域网又出现堵塞，发现是ip为 192.0.3.123的用户开启了瑞星arp防御功能，关闭该功能后，局域网恢复正常。
在局域网堵塞期间，我用科来抓包，未发现arp包。
请版主帮忙分析。

因文件比较大，麻烦到以下地址下载
http://210.75.18.142/photo/ruixing.rar
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
刚刚网络又出现问题。用科来抓了不到30秒，arp包数量惊人
抓包文件下载地址
http://210.75.18.142/photo/ruixing2.rar
找到有问题的电脑，果然安装了瑞星防火墙，关闭arp防御功能，网络恢复正常。

[ 本帖最后由 dushh 于 2007-12-4 18:10 编辑 ]

扬州神龙 · 发表于 2007-11-30 12:56:51

防御怎么会一起arp攻击那？

xwy3260 · 发表于 2007-11-30 13:33:28

楼主应检测
192.0.2.148
192.0.2.84
192.0.3.206
192.0.3.237
192.0.2.152
这些机器在线观看视频和BIT。
另外，192.0.2.1占用了网络很大一部从的流量，也应检查。

[ 本帖最后由 xwy3260 于 2007-11-30 13:39 编辑 ]

xwy3260 · 发表于 2007-11-30 13:36:18

原帖由 扬州神龙 于 2007-11-30 12:56 发表
防御怎么会一起arp攻击那？

瑞星开启ARP防御后，会不停地发ARP包。

dushh · 发表于 2007-12-1 08:27:01

非常感谢xwy3260
但是我怎么抓不到arp包？

逍遥一指令 · 发表于 2007-12-1 14:05:59

原帖由 xwy3260 于 2007-11-30 13:33 发表
楼主应检测
192.0.2.148
192.0.2.84
192.0.3.206
192.0.3.237
192.0.2.152
这些机器在线观看视频和BIT。

怎样看出来他们在在线观看视频和BIT？
望指教

bigdinosaur · 发表于 2007-12-2 15:19:36

难怪最近我们的网络异常，原来是arp 防火墙的功劳。楼主救了我一命。谢谢！

菜鸟人飞 · 发表于 2007-12-2 19:47:51

原帖由 逍遥一指令 于 2007-12-1 14:05 发表

怎样看出来他们在在线观看视频和BIT？
望指教

直接在协议中可以看到。
BT是BitTorrent，在线视频有时会使用RTSP。

逍遥一指令 · 发表于 2007-12-3 02:22:44

谢谢菜版的指导
感谢~！

dushh · 发表于 2007-12-3 08:22:00

原帖由 bigdinosaur 于 2007-12-2 15:19 发表
难怪最近我们的网络异常，原来是arp 防火墙的功劳。楼主救了我一命。谢谢！

你用的也是瑞星吗？

刚上班，来顶一下。不明白为什么抓不到arp包。

dushh · 发表于 2007-12-4 18:11:18

刚刚抓到arp数据包了

上善若水 · 发表于 2007-12-6 19:12:40

瑞星这个问题其实比较普遍的

瑞星2008个人防火墙引起的网络堵塞，如何排查？（最新情况）

浏览过的版块