救命阿，各位大哥帮小弟看看吧

dingl6613 · 发表于 2008-2-22 11:34:29

掉包掉了3个星期了，帮忙看下是哪台机器有问题吧，谢谢了

徐徐渐进 · 发表于 2008-2-22 12:07:13

协议分析软件部署不正确，不能确定网络问题，请楼主部署正确后再抓包上传。

dingl6613 · 发表于 2008-2-22 17:05:29

什么叫部署不正确啊，到底怎么部署啊，俺不大懂这个哦，第一次用这个软件，掉包太严重了，我要疯掉了，郁闷

徐徐渐进 · 发表于 2008-2-22 17:43:23

请参考http://www.csna.cn/forum.php?mod ... &extra=page%3D1或搜索相关主题！

[ 本帖最后由徐徐渐进于 2008-2-22 17:55 编辑 ]

oldjiang · 发表于 2008-2-22 21:39:02

部署，说难也难，说易也易。请楼主画个拓扑图，比如就用XP的附件--画图简单地画一个也行。网关是什么型号？网关接的交换机是什么型号？可以咨询一下厂商，如果路由或者交换机支持端口镜像，那部署就不难了。对你的网络一无所知，如何告诉你怎么部署呢？部署不正确，大部分的包就抓不到，又如何找出“掉包太严重”的原因呢？楼主莫急。PING网关丢包是挺多的。

[ 本帖最后由 oldjiang 于 2008-2-23 11:31 编辑 ]

oldjiang · 发表于 2008-2-23 00:22:24

找到了。图2，7号数据包应该是个广播包但却是个单播包而且172.31.33.249的IP看着也像假的（跟楼主的子网不符，论坛有一些类似的帖子）。图4，每隔5秒查询一次，一秒钟就有50个ARP请求包。请楼主找找MAC为00:AE:20:F8:6F:0A的机器，它也许中毒了或者安装了ARP欺骗的软件。

[ 本帖最后由 oldjiang 于 2008-2-23 00:46 编辑 ]

oldjiang · 发表于 2008-2-23 11:28:39

如果镜像防火墙接交换机的端口，可以俘获进出的流量，但LAN上机器之间的单播包，如查看网上邻居时的NBNS响应（UDP137）、NBSSN（TCP139）、CIFS（TCP445)、楼主的单播ARP请求等则不能捕捉到。如果我想俘获LAN上机器之间的单播包，该如何部署？

下午做了个测试，CISCO2924XL交换机，科来接F0/5口，镜像F0/2、F0/7如图1_mirror，设过滤器如图2_filter，两个地址分别是F0/2、F0/5机器的MAC，在F0/2的机器上PING F0/7的机器（PING 192.168.1.91)，得到工程文件mirror2ports。意外的是数据包并无重复。对这个交换机、过滤器而言，同时镜像两个端口、只镜像其中一个端口，效果是一样的。

假设一个二级交换机上接有N个机器，如果要捕捉这些机器之间的（全部）单播，似乎只能镜像N个或者N-1个端口；假设一级交换机上接有M个二级交换机，如果要捕捉跨二级交换机的（全部）单播，似乎只能镜像M个或者M-1个端口。这样做似乎累了点。

[ 本帖最后由 oldjiang 于 2008-2-23 23:48 编辑 ]

dingl6613 · 发表于 2008-2-25 09:05:28

恩，感谢你的回答，但是MAC为00:AE:20:F8:6F:0A的机器的IP就是172.31.33.249啊，但是这个IP应该是不存在的啊，我怎么才能知道是内网的哪台机器呢，谢谢指教啊

dingl6613 · 发表于 2008-2-25 09:30:50

哎，又到周一了，又要开始连续掉5天包了，公司网络一下好一下坏实在是受不了，期待各位大哥帮帮俺

oldjiang · 发表于 2008-2-25 09:33:49

1、逐个机器IPCONFIG /ALL 看MAC地址
2、如果是可管理的交换机，TELNET或者超级终端登录交换机，SH MAC-ADDRESS-TABLE或者类似命令，看这个地址在哪个端口
3、网络正常的时候，楼主应该用科来的工具集-MAC地址扫描器，做一份IP-MAC对照表，并给这个表增加一个交换机端口列
4、这个MAC也可能是假的，

[ 本帖最后由 oldjiang 于 2008-2-25 09:43 编辑 ]

dingl6613 · 发表于 2008-2-25 11:14:55

我找了下，公司内网没这个ip和MAC，而且我把交换机上的网线一根根都拔下来看过了，还是掉的厉害，每台机器上我ARP防火墙都装了，不知道是什么问题，郁闷了

oldjiang · 发表于 2008-2-25 11:16:42

请楼主正确部署，掉的时候重新抓包2、3分钟

dingl6613 · 发表于 2008-2-25 11:59:53

难道是我部署不正确的原因？我重新在一台服务器上装了6.7提示我没又网卡

华络小韩 · 发表于 2008-2-25 12:10:45

哦。。。。

oldjiang · 发表于 2008-2-25 12:33:03

原帖由 dingl6613 于 2008-2-25 11:59 发表
难道是我部署不正确的原因？我重新在一台服务器上装了6.7提示我没又网卡

部署不仅仅指安装，还要在交换机上做端口镜像（HUB、或者镜像、或者TAP）。请楼主参考此帖http://www.csna.cn/forum.php?mod ... &extra=page%3D1，另外帮助菜单也有部署说明。“没有网卡”，图中打勾了没？

[ 本帖最后由 oldjiang 于 2008-2-25 12:41 编辑 ]

dingl6613 · 发表于 2008-2-25 13:13:51

谢谢了，我看来还是没部署好，只能检测到本机流量，交换机没端口映像功能，等我部署好再向你请教吧，谢谢oldjiang兄弟了

6435 · 发表于 2008-2-26 08:54:56

提示: 作者被禁止或删除内容自动屏蔽

9518 · 发表于 2008-2-26 22:40:46

高手们快来帮帮楼主被,顺便我也学习下

6435 6435 当前离线积分 0 头像被屏蔽	发表于 2008-2-26 08:54:56 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
6435 6435 当前离线积分 0 头像被屏蔽
	回复使用道具举报

救命阿，各位大哥帮小弟看看吧

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

讨论，如何抓到单播包？

本帖子中包含更多资源

本帖子中包含更多资源