CSNA网络分析论坛»首页 流量分析 网络分析 !!求助啊!!公司的网络
返回列表 发帖
查看: 2150|回复: 10

!!求助啊!!公司的网络

[复制链接]
stgysky
发表于 2008-2-14 19:57:00 | 显示全部楼层 |阅读模式
公司的网络经常在上班和下班高峰期间出现网络超时的现象,有时候甚至2000+MS。请高手帮我看看啊!
已经连续好几天出现这种状况了。
科来我不会分析啊~~
公司有3台交换机,几十个网口啊,我总不可能一个一个去拔掉测试吧。
=================================================================================
2007.2.15 今天安装了新的金山毒霸,里面的金山网镖发现有好3个不同的IP主机在对我的电脑发送  SASSER 病毒(震旦波攻击),因为我公司实行的是标准机安装,不能上外部网,
有少数电脑因为故障重装过系统,这系统本是总公司给安装的,现在因条件限制只能安装为非标准机的,也有手提电脑带进公司联网的, 所以造成无法升级杀毒软件和下载WINDOWS补丁(标准机的可以),所以这次必须来次大清除。杀毒
但是很遗憾的是攻击我的IP我查询了一下,是另一个城市的。。。。。
==================================================================================
下午用科来在超时严重的时候抓的包(工程3),请帮忙看看。TCP太多重传?

[ 本帖最后由 stgysky 于 2008-2-15 21:37 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

oldjiang
发表于 2008-2-14 22:24:14 | 显示全部楼层
诊断视图,有ARP扫描、ARP请求风暴,地址是00:16:EC:AA:EE:AE(IP地址10.170.8.247),请楼主找出这台机器,断开他两天试试。

[ 本帖最后由 oldjiang 于 2008-2-14 22:25 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

stgysky
 楼主| 发表于 2008-2-14 22:33:14 | 显示全部楼层
大哥,那是我自己的机器,可能当时在用科来在扫描。或者也在不断的PING。
我也试过在超时很严重的时候关掉这台电脑,好像没拔掉网线,那样依旧在超时,是不是得把网线拔掉??
谢谢!
回复

使用道具 举报

chinaheiyu
发表于 2008-2-14 23:00:27 | 显示全部楼层
个人对分析也不太了解,看了看,根据提示。你看下。10.170.8.247这台机子。在出现这个问题的时候,关掉这台电脑试下。。因为你捕捉的时候比较短,可能信息不能很好的反应你的网络环境。建议述说详细的网络图形。捕捉时间最好不要少于1分钟。。。。。

10.170.8.29,这台是不是个路由器啊的Wan口IP?

[ 本帖最后由 chinaheiyu 于 2008-2-14 23:04 编辑 ]
回复

使用道具 举报

oldjiang
发表于 2008-2-14 23:09:01 | 显示全部楼层
原帖由 stgysky 于 2008-2-14 22:33 发表
大哥,那是我自己的机器,可能当时在用科来在扫描。或者也在不断的PING。
我也试过在超时很严重的时候关掉这台电脑,好像没拔掉网线,那样依旧在超时,是不是得把网线拔掉??
谢谢!


从工程文件看,图中所示的才是你抓包的机器,两个机器都装了科来?关机就行了,不用拔网线吧。

[ 本帖最后由 oldjiang 于 2008-2-14 23:10 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

stgysky
 楼主| 发表于 2008-2-14 23:28:56 | 显示全部楼层
好,明天试试看。谢谢你们
10.170.8.29是路由器的Wan口IP.这样有影响吗??我很菜,感谢赐教。

[ 本帖最后由 stgysky 于 2008-2-14 23:33 编辑 ]
回复

使用道具 举报

oldjiang
发表于 2008-2-14 23:41:44 | 显示全部楼层
黑鱼版主是如何看出“10.170.8.29是路由器的Wan口IP”的?
回复

使用道具 举报

从零开始
发表于 2008-2-15 10:09:53 | 显示全部楼层
给楼主几点建议:
1、请楼主描述一下你的网络结构,你是怎样部署科来的;
2、请问楼主这是你所说的高峰时抓的包吗,抓包时间不短啊,但流量并不大,只看出247有ARP扫描;
3、就算247和29都装了科来,但从工程文件看29是你的抓包机器,但楼主说247是你的本机,有点糊涂了; 而且科来是被动的工作在网络中,不会主动扫描、发包的。
回复

使用道具 举报

stgysky
 楼主| 发表于 2008-2-15 13:04:46 | 显示全部楼层

回复 7# 的帖子

哦,谢谢。
29是手提电脑,是我临时接上去的。
247是我的在使用的电脑。
回复

使用道具 举报

stgysky
 楼主| 发表于 2008-2-15 13:17:34 | 显示全部楼层

回复 10# 的帖子

今天查了下,发现中了SASSER蠕虫病毒
回复

使用道具 举报

从零开始
发表于 2008-2-15 13:18:13 | 显示全部楼层
原来是这样,科来是装在你笔记本上的吧?
那你可以在用科来抓一次包,以查找感染病毒的源主机。

[ 本帖最后由 从零开始 于 2008-2-15 13:23 编辑 ]
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表