实在没办法了，请大家帮忙分析下原因

keermimi · 发表于 2008-2-29 00:49:35

先介绍下网络情况吧
电信10M光纤接入
路由是双WAN口的。另外接入了配送的8M ADSL线路
以前一直都这样运行的
前几天出现了网络秒卡的现象
通过单机挂接光纤收发器发现外网有部分IP流量过大。怀疑有被攻击嫌疑
联系上电信后，让更换了IP
更换IP后，在没有接到路由之前。我做了测试，用科来抓了有2个小时左右吧没什么问题。
但是挂接上路由后
现在出现了另外一个情况
ping 路由 time值小于或等于1 很正常
ping到电信的网关 time值也在1左右。但是会间歇掉一个包
同时pingDNS的话 time值也可以接受。但是会因为到电信的网关掉了1个包。DNS也会掉一个包
如果拨掉光纤的话，只用ADSL 因为ADSL的time值本来就比光纤大。而且一直没掉过包。
怀疑到网线
把路由上所有的网线全换了一次 [换线/换水晶头]
今天我把路由也给换掉了。
问题依旧
个人感觉排除内网病毒可能。因为我已经为这个事情全换了所有系统。
假如说有毒的存在的话，用ADSL为什么又会正常？
请大家给支个招！

luotao251 · 发表于 2008-2-29 08:34:21

“在没有接到路由之前用科来抓了有2个小时左右”，那接上路由之后再抓包放上来看看呢？

lingyungong79 · 发表于 2008-2-29 10:10:21

再用科来抓包或是去掉路由接单机再试，还是不行打电话骂电信的去，很舒坦的。

老兵 · 发表于 2008-2-29 10:39:22

10m光纤很爽的网络啊，

，既然你所有的问题都检查完了，就说明不是你的问题，是电信的，打电话骂他。然后让他们工程师上门，剩下的一切问题都是他的，你的问题也是他造成的，和你无关。哈哈！

lingyungong79 · 发表于 2008-2-29 10:42:50

准确的来说是10M光纤加8MADSL~

飞雪 · 发表于 2008-2-29 15:57:20

我们也曾遇到过和楼主差不多的问题，我怀疑可能是路由器开启了入侵检测防PING FLOOD功能。

keermimi · 发表于 2008-2-29 18:10:10

唉。。。
不知道怎么办了
电信的也来测试了观察了几个小时没找着原因。。。我哭

keermimi · 发表于 2008-3-3 01:08:59

问题还没解决
今天抓了包
由于论坛的附件大小限制
我把包放在了网盘
请大家帮忙分析分析！！！！
谢谢！
科来抓包附件下载地址：http://www.fs2you.com/files/a3ef67e3-e879-11dc-90b6-0014221b798a/

suxue · 发表于 2008-3-3 08:59:27

路由下只接一台机子有问题吗?
感觉抓包也不是万能的,很多时候还要靠经验.
象是带宽不够造成的,可以看一下带宽使用率.

lingyungong79 · 发表于 2008-3-3 14:09:02

原帖由 suxue 于 2008-3-3 08:59 发表
路由下只接一台机子有问题吗?
感觉抓包也不是万能的,很多时候还要靠经验.
象是带宽不够造成的,可以看一下带宽使用率.

----------------------------------------------------------------------------------------------------------？！

[ 本帖最后由 lingyungong79 于 2008-3-4 09:13 编辑 ]

lingyungong79 · 发表于 2008-3-3 14:20:49

大嘴乱吼，仅供参考。有可能中病毒了！

确定的有你本机，192.168.1.225

工具清除方法：点击这里下载清除工具

手工清除方法，我们建议您这样做：

* 检测是否被蠕虫感染：

检查系统的%systemroot%＼system32＼wins＼目录下是否存在dllhost.exe和svchost.exe文件，如果有，则说明您已经被感染。
（%systemroot%为您的Windows安装目录）

* 暂时禁用DCOM

1、先断开网络连接，然后重新启动系统。

2、保持网络连接是断开的。点击左下角的“开始”菜单，选择“运行”，在其中键入“dcomcnfg”，点击“确定”，这样就打开了DCOM配置工具。（可能会出现几个弹出窗口的提示，可以一律点击确定。）

3、在“默认属性”页，取消“在这台计算机上启用分布式COM”的复选框。然后点击“确定”。

4、这样我们就禁用了DCOM，您的系统不再受蠕虫的影响，您可以连上网络继续下面的安装补丁等操作，但是在安装完补丁之后，最好再启用DCOM，因为我们不知道您系统上是否有某些应用依赖于DCOM。

* 清除蠕虫

如果发现系统已经被蠕虫感染，我们建议您按照以下步骤手工清除蠕虫：

1、按照上述方法安装补丁。

2、点击左下角的“开始”菜单，选择“运行”，在其中键入“cmd”，点击“确定”。这样就启动了命令提示符。在其中键入：
  net stop RpcPatch
  net stop RpcTftpd

3、删除%systemroot%＼system32＼wins＼svchost.exe和%systemroot%＼system32＼wins＼dllhost.exe。

4、点击左下角的“开始”菜单，选择“运行”，在其中键入“regedit”，点击“确定”。这样就启动注册表编辑器。在注册表中删除键：
  HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼RpcPatch
  HKEY_LOCAL_MACHINE＼SYSTEM＼CurrentControlSet＼Services＼RpcTftpd
  HKEY_LOCAL_MACHINE＼SYSTEM＼ControlSet001＼Services＼RpcTftpd
  HKEY_LOCAL_MACHINE＼SYSTEM＼ControlSet001＼Services＼RpcPatch

5、重新启动系统。

也可利用蠕虫检测系统时间，自动清除自身的特性，将系统时间改到2004年，然后重新启动系统，再将时间改回来。

* 针对蠕虫发送大量ICMP导致的网络阻塞解决建议

可暂时在网络设备上禁止或者限制ICMP ECHO数据包。由于蠕虫发送的ICMP报文的源IP都是真实的，可通过在Sniffer上设定过滤规则，捕获大小为92字节的ICMP ECHO数据包，统计源IP，即可了解网络中那些系统被蠕虫感染，并采取相应措施。

keermimi · 发表于 2008-3-3 14:27:06

谢谢楼上的解答
我试试吧

suxue · 发表于 2008-3-3 17:17:02

原帖由 lingyungong79 于 2008-3-3 14:09 发表
----------------------------------------------------------------------------------------------------------忽悠，接着忽悠，您当坛子里的朋友都是象偶这样的民工啊？！

遇见高手了,诚心请教遇到的一个问题.

192.168.24.23/24(A)----192.168.24.1/24~172.19.19.23/16(B)----交换机接172.19.19.19/16(C)和172.19.19.20/16(D)

B机上安装双网卡,分别接两个网段,A ping 得通D 机,但ping 不通C,是什么原因呢?
C是一台路由器,已经加了静态路由 route add 192.168.24.0 mask 255.255.255.0 172.19.19.23 metric
1
sniffer 接C机的交换机端口,看到有A机的包了.

[ 本帖最后由 suxue 于 2008-3-3 17:27 编辑 ]

lingyungong79 · 发表于 2008-3-3 17:21:58

不好意思，偶不是搞电脑的，偶以为您是楼主，所以就开了个玩笑。真没别的意思，偶就是喜欢开玩笑而已。偶外号大嘴。在下赔礼道歉了。
您的那个问题我不懂，无法解答，有空请多多指教。

lingyungong79 · 发表于 2008-3-3 17:24:15

偶......

[ 本帖最后由 lingyungong79 于 2008-3-3 17:33 编辑 ]

suxue · 发表于 2008-3-3 17:40:23

呵呵！没关系。
我没有安装科来，sniffer pro 又打不开楼主抓的包，也算是乱说了。现实中很少遇到搞网络的高手，待遇太低了。
不过这里的论坛真的很冷清，哪怕吵吵架都好。

lingyungong79 · 发表于 2008-3-3 17:48:56

是啊，坛子的那些老牛们都潜着，偶是因为太无聊了所以才上来乱吼的。

god · 发表于 2008-3-3 23:49:34

搂主，有没有把光纤收发器换一下。

55902000 · 发表于 2008-3-4 11:05:49

192.168.1.2做什么用的。

dljk117 · 发表于 2008-3-6 00:31:21

建议定位故障
测试流程
1.重新仅将光纤线路接到本机,设定好IP等后重新PING 网关和DNS,同时额外PING一个网站如163.com
观察5分钟内的情况,并记录
2.光纤接上路由，路由下仅挂本机，执行上面的操作，并记录
3.如果前面仅接本机不掉，而接路由掉，那么，大部分情况是本地的问题转到4，如果不掉包那么转到5
4.执行下面两部分步骤
  (1)不换路由，若路由有两个以上的LAN口，直接将收发器查到LAN上，设置本机IP（相当于把路由当交换机测试）
  (2)换一个普通的路由，替换，进行测试，排除是路由安全设置的问题（WAN口的ICMP安全防御等）
5.路由接上网络，（另建议，此时尽量开启所有电脑）。如果开始出现掉包现象，先记录掉包时间间隔，看看是否规律性的，然后，采用排除法，一批一批的拔网线（多个交换机的情况下，可以直接断交换机），每断一批，等待掉包时间＋1分钟
6.执行完以上操作，估计你就累的差不多了，可以休息去了，休息前，把每一步操作的结果发到网上来，可以参考下

  以上操作仅供参考，请根据自己单位的情况，在估计好实施的难度后选择是否进行

dljk117 · 发表于 2008-3-6 00:39:41

你的路由器是怎么接的,交换机出来的网线是接WAN口还是LAN口？
还有，路由是什么型号的？

rain22 · 发表于 2008-3-6 19:09:02

开启入侵ping flood的话，会有规律的掉包。

实在没办法了，请大家帮忙分析下原因

本帖子中包含更多资源

回复 13# 的帖子