抓包后的截图,请帮我分析下

2332579 · 发表于 2008-2-17 12:53:55

帮忙分析下

2332579 · 发表于 2008-2-17 12:58:09

工程文件!!!!

chinaheiyu · 发表于 2008-2-17 17:26:34

个人分析步骤：
1.查看巡断信息。发现重传数据包很多,说明网络状况不是很好，可能存在环路。也可能是病毒引起网络阻塞。
2.查看统计信息。数据包主要分布在65-127，其中66字节最多。同步数据包很多，初始化连接也很多，但成功建立的却很少。表示网络中的主机可能感染病毒，且此病毒正在试图连接其他主机的某些TCP端口以进行感染,这种可能性较大.
3.看下端点里的发送数据包和接收数据包的比较值和详细的详细。可以看到10.215.63.185发送5000多个包，接收包一个没也。可以看到类似的IP很多。要根据详细的信息综合判断，可双击查看详细的协议。注意要排序里，在左边栏时只选择内网IP方便些。

oldjiang · 发表于 2008-2-17 22:20:58

存在中间人欺骗。图一和图二，LAN上多个机器的MAC都是一个；图三和图四，可见有转发过程。诊断视图有TCP重传的10个IP，都在00:E0:FC:66:0E:1E下。楼主真正的网关应该是00:11:92:EC:9B:71。图五的LOOPBACK很有规律，不知是在干啥。

[ 本帖最后由 oldjiang 于 2008-2-17 22:51 编辑 ]

从零开始 · 发表于 2008-2-18 10:22:28

对，楼主应该检查OO:E0:FC:66:0E:1E这个MAC
我的看法和楼上版主有点不一样，我感觉是在运行代理。

oldjiang · 发表于 2008-2-18 20:44:20

我猜楼主安装科来的机器是00:16:17:37:A8:5D（IP114），TELNET的包，编号=076024 长度=64 捕获长度=54，一般只有本机的包俘获长度才会小于60。机器不少抓包四个小时缓存还没满，有四个MAC下有多个IP，出去的包多进来的包少，楼主的包看着扑朔迷离，请说一下部署情况，如拓扑、子网、网关等。

[ 本帖最后由 oldjiang 于 2008-2-18 20:57 编辑 ]

2332579 · 发表于 2008-2-19 18:08:01

这个地址00:E0:FC:66:0E:1E是我内部网三层交换机的地址,这里我的三层交换机当做网关使用
这个地址00:11:92:EC:9B:71是我出外网的防火墙地址

2332579 · 发表于 2008-2-19 18:14:26

我公司有三个网络接入,内部网\城域网\互联网
内部网\城域网,接入方式不一样,但是用途一样,都要访问指定的服务器.
互联网是用在防火墙上使这三个网同时可以使用互联网.

网络拓扑

1台思科7200路由器(内部网使用) 1台3526C三层交换机(城域网使用)
以下的的用户接入通过二层交换机识别网络

oldjiang · 发表于 2008-2-20 23:32:48

还想请楼主简单的画个拓扑图，最好标明IP地址。你这个数据包协议丰富，看着蛮有意思的。

[ 本帖最后由 oldjiang 于 2008-2-20 23:40 编辑 ]

2332579 · 发表于 2008-2-21 09:05:15

00.0f.e2.10.c6.49 这个地址找不到是那里的!

2332579 · 发表于 2008-2-21 09:09:46

请帮忙分析

2332579 · 发表于 2008-2-21 09:11:40

2900下的交换机,通过识别网关来选择路由走向!

抓包后的截图,请帮我分析下

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源