网速慢各位看看你们有这种情况嘛！~

xll990131 · 发表于 2008-4-16 13:23:34

我这里的内网广播数据包很多！内网没有开的机器外网一直发数据！有的外网IP是可以ping的通！有的拼不通

[ 本帖最后由 xll990131 于 2008-4-19 16:21 编辑 ]

徐徐渐进 · 发表于 2008-4-16 14:01:57

楼主这样说实在是不能解决任何问题，抓包吧，用数据包说话。

garyx · 发表于 2008-4-16 14:35:05

你看是不是硬件的问题!这情况,不是病毒的话,就是网卡或者交换设备出问题!
我以前也试过!有个机器接了个四口交换,再接我的主交换机,结果那端口就狂发ARP广播,最后把那四口交换撤了!就没问题拉!
不过,最好都是发个包上来吧!

xll990131 · 发表于 2008-4-17 00:23:00

我用sniffer抓的包给你们看看！

xll990131 · 发表于 2008-4-17 00:25:20

不好意思！刚急了一下就没有传上

xll990131 · 发表于 2008-4-17 00:27:52

如果有那位好心人留个联系方式！帮我看看
我的QQ：175421934
不知版主有没有时间！

xll990131 · 发表于 2008-4-17 12:01:29

怎么也没有人帮我看看呀

孤独的意尹者 · 发表于 2008-4-17 12:57:09

不知楼主遇到的真正问题是什么？简单看了下数据包，有很多IPX的广播，还有部分SSDP组播包

xll990131 · 发表于 2008-4-17 14:26:15

随着上网人数的增多！网速就越来越慢！我抓包看了一下！想知道是不是病毒还是网路引起的！我的设备与机器在没变的情况下！现在比原来的网速慢！原来机器都上也不会慢！

oldjiang · 发表于 2008-4-17 14:45:36

1、抓包时间太短，一个半分钟，一个10秒
2、抓包时间不对，深夜抓包，矩阵单播只见52、53（本机）两个机器
3、52机器的UDP包挺有规律的，NETSTAT看看在干啥

xll990131 · 发表于 2008-4-17 16:53:36

要不我今天18-21点这个时间段再看看！然后找大哥你们帮我看看！我看不懂数据包

孤独的意尹者 · 发表于 2008-4-17 17:34:16

上面编辑的数据包我下载查看了一下，发现源地址、源端口都是固定的，即为221。130。75。69：1701 UDP协议，这个为L2F VPN协议，基本上从16:57:19.736019999开始，每隔几秒就发送一个数据包，一直到17:18:29.554746000，目的地址一直为192。168。1。50。
我们来简单分析一下：
1，从数据包发送的频率来看，不像攻击行为，因为攻击数据包基本上都是1秒内N个数据包的；
2，从数据包的源、目的固定，端口固定来看，也不是攻击行为，因为这种攻击会被用户、ISP等轻易搞定；

[ 本帖最后由孤独的意尹者于 2008-4-17 17:40 编辑 ]

xll990131 · 发表于 2008-4-17 17:36:05

谢谢
我会一直在这里面学习！总有一天我也可以帮别人处理问题

孤独的意尹者 · 发表于 2008-4-17 17:42:58

“外网到内网但内网机器关着的”，楼主的意思是说：192。168。1。50的机器是不存在的吗？
如果是的话，请楼主检查网关设备是否有做针对192。168。1。50的地址映射，没做地址映射，外网的数据包肯定到不了内网的，因为目的地址在公网上就没路由可达了

孤独的意尹者 · 发表于 2008-4-17 17:56:47

原帖由 孤独的意尹者 于 2008-4-17 12:57 发表
不知楼主遇到的真正问题是什么？简单看了下数据包，有很多IPX的广播，还有部分SSDP组播包

楼主上传的全局包中有很多的IPX广播包，楼主网络中需要用到IPX协议吗？如果不需要的话，把所有机器的IPX协议卸载了
还有个疑问：楼主的互联网接入设备是什么？开启了UPNP功能吗？

xll990131 · 发表于 2008-4-17 18:55:28

我的的内网要用么IPX协议！万象收费系统
光纤收发器然后就是软路器再公安的交换机

还有！我的路由是没有做地址映射！50号机是关着的！所以我就闷！机器关着的还有数据包一直往那台机上发！如果那台机开起来后就不会发了

[ 本帖最后由 xll990131 于 2008-4-17 19:02 编辑 ]

oldjiang · 发表于 2008-4-18 14:04:24

1、我看了1楼的全局数据包，楼主的本机192.168.1.53，不断的连接192.168.1.1和192.168.1.150，总是被拒绝。5#的全局包也有这个情况。请检查一下是什么进程。从你的数据包来看，流量不过10Kbps，这时上网也慢，而且有传输层错误，就奇怪了。
2、另外也检查一下192.168.1.30:1004是什么进程用UDP1004端口。
3、楼主一直没有描述拓扑、关键节点、部署位置等情况。从你的数据包看IP单播矩阵，都是只有寥寥几个局域网的机器，也不好判断部署是否正确。
4、能否直接用科来抓包？抓包的时间长一点，以不超缓存为限。

[ 本帖最后由 oldjiang 于 2008-4-18 14:05 编辑 ]

xll990131 · 发表于 2008-4-19 01:12:35

谢谢版主！谢谢大家！我也在想办法处理！目前正在用S5024p做镜像！重新抓包！我个人认为我这样抓的包不全！找不到问题的根源！

oldjiang · 发表于 2008-4-19 09:20:51

1、H3C网站：
H3C S5024P以太网交换机是H3C公司自主开发的支持Web管理的二层线速以太网交换产品，是为要求具备高性能且易于安装的网络环境而设计的智能型交换机。S5024P提供24个千兆以太网端口、4个千兆SFP端口（与后4个千兆以太网端口复用）以及一个Console端口。该交换机可以通过console口、telnet以及web方式登录进行配置，支持VLAN划分、端口双向镜像、端口+MAC地址绑定和端口聚合等功能。
2、从网站上的方案来看，该交换机一般接路由，把接路由的交换机端口作为镜像的源端口抓包即可。参考http://www.h3c.com.cn/download.do?id=290893 ，下例摘自5-11页的5.5配置以太网端口镜像
例：将 GigabitEthernet0/1端口至 GigabitEthernet0/5端口上的报文复制到指定镜像端口 GigabitEthernet0/10上。
<H3C> system-view
Enter system view, return to user view with Ctrl+Z.
[H3C]monitor-port GigabitEthernet 0/10
[H3C]mirroring-port GigabitEthernet 0/1 to GigabitEthernet 0/5
<H3C> display mirror
Monitor-port: GigabitEthernet0/10
Mirroring-port: GigabitEthernet0/1 GigabitEthernet0/2 GigabitEthernet0/3 GigabitEthernet0/4 GigabitEthernet0/5
3、网速慢，十有八九是带宽占用造成的，上述的部署应该能找到原因。
4、楼上说“我个人认为我这样抓的包不全！找不到问题的根源！”，很难一个不漏的抓到所有的包。如果S5024P是一级交换机，下接N个二级交换机，那么也可以试试这样部署：把S5024P接二级交换机的N个口做源端口，如此除了可以抓到去外网的包，还可以抓到局域网内互相访问的包。

[ 本帖最后由 oldjiang 于 2008-4-19 11:15 编辑 ]

xll990131 · 发表于 2008-4-19 18:21:32

镜像做好了！谢谢！从里面学到了好多思路！关键是学到方法！
我大约的看了一下！认为是下载！用迅雷导致的！
还有一些目前不太懂！

[ 本帖最后由 xll990131 于 2008-4-19 18:25 编辑 ]

xll990131 · 发表于 2008-4-21 18:15:30

问题解决了！因为大部分下载引起的！

网速慢各位看看你们有这种情况嘛！~

本帖子中包含更多资源

本帖子中包含更多资源