这个问题已经有两天了,请大家帮我分析下

debug10 · 发表于 2008-1-26 12:10:43

具体情况:公司现有58台电脑,2M光纤通过硬件防火墙分到四台交换机.从前几天硬件防火墙出了问题(现已经正常,确定与防火墙无关)之后网络问题就出现了故障,局限网内互访和外网都很慢,PING邮件服务器(在韩国)掉包很严重,国内网站也一样,联系电信公司,在那边测的上传流量为3.8M ,于是乎通过防火墙策略和装上反P2P软件封掉一部份,情况还是一样,忙了两天,也没找到解决办法,我上传个包请大家帮我分析下,先谢谢大家喔

[ 本帖最后由 debug10 于 2008-1-28 19:51 编辑 ]

debug10 · 发表于 2008-1-26 12:12:44

工程文件中 IP 10.10.20.20 是本自己的,有用反P2P软件

wub1230 · 发表于 2008-1-26 14:11:36

在节点浏览器中，本机MAC下对应了多个IP地址，应该存在ARP，你好好检查一下
网络中还存在可疑的POP3和SMTP，你应该定位主机，可以发现此主机存在扫描的

hhr123456789 · 发表于 2008-1-26 14:59:33

楼主:
您好!请问10.10.20.1是哪台主机,好像中了arp病毒,它的mac在不断地变,把它断开网络,试试能否正常!

hhr123456789 · 发表于 2008-1-26 15:04:31

楼主:
因为P2P是基于ARP欺骗的,所以本机10.10.20.20有ARP欺骗是正常的,反而10.10.20.1是不正常,您最好把P2P停了,再把10.10.20.1的网络断开,看看效果,刚才发的回复忘记了叫你停了P2P,不好意思啊!

debug10 · 发表于 2008-1-26 17:16:52

谢谢各位兄弟, TO: [hhr123456789] 10.10.20.1是我硬件防火墙内,也是网关,我有断开局限网单机通过防火墙测试,网络状况良好

[ 本帖最后由 debug10 于 2008-1-26 17:27 编辑 ]

debug10 · 发表于 2008-1-26 17:21:24

我不太明白WUB1230所说的"可疑的POP3和SMTP"具体指什么, 麻烦在深入点, ARP风暴是我自己用的机造成的,可以排除

徐徐渐进 · 发表于 2008-1-27 01:19:48

楼主应先排除ARP，然后再检查网络中机器的137端口。

137端口主要用于“NetBIOS Name Service”（NetBIOS名称服务），属于UDP端口，使用者只需要向局域网或互联网上的某台计算机的137端口发送一个请求，就可以获取该计算机的名称、注册用户名，以及是否安装主域控制器、IIS是否正在运行等信息。过量的这种流量会对正常的网络通讯产生影响。

snowhite · 发表于 2008-1-27 13:20:18

20ARP扫描，是否安装了网络管理软件？

hhr123456789 · 发表于 2008-1-27 14:42:09

楼主，请问您科来有否设置好，好像在矩陈中大多数是单向包，还是楼主只捉单向包啊，请检查是否设置好科来，如图测试一下，是否正确！

debug10 · 发表于 2008-1-28 11:13:15

严重批抨自己，测试时出错，电信今天打电话过来，要我再做次单机测试

nomeans · 发表于 2008-1-28 13:41:22

如果解决了问题，请楼主公布一下故障原因，也好让我们学习一下，谢谢！
[另外：以后抓包前建议你先改一下邮箱密码，抓包后再恢复，现在口令赤裸裸的在工程文件中不安全，抓紧改一下吧.]

飞雪 · 发表于 2008-1-28 14:57:23

经分析，所有的故障均是ARP（00:17:31:45:F6:17),只要将这台计算机隔离。从会话中找了几台计算机来看，所有的计算机都是被欺骗(ARP).
结论为：ARP欺骗

debug10 · 发表于 2008-1-28 19:34:47

谢谢各位兄弟，今天做了个trace给电信兄弟他也没看出什么，问题还是没有解决，不过现在有个方向了，硬件的可能性比较大，明天继续忙。。。

debug10 · 发表于 2008-1-28 19:47:21

谢谢 nomeans ，真的是明文摆在那里的，太大意了

这个问题已经有两天了,请大家帮我分析下

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

楼主，问题解决了么？