网络中某个主机感觉可能存在问题,求高人帮助分析!

bingxuelin · 发表于 2008-4-24 14:29:09

最近在学习使用sniffer,这两天发现网内有一两台主机的数据包存在问题,用sniffer抓包,还请高人帮忙看下是什么问题,107那台主机很可疑,但实在不知道是什么原因,能帮忙详细分析一下,谢谢啦!
网络整体状态(192.168.1.*为内网主机)

怀疑存在问题的数据包

[ 本帖最后由 bingxuelin 于 2008-4-24 15:45 编辑 ]

bingxuelin · 发表于 2008-4-24 15:46:34

是用SNIFFER抓的,后缀名是.CAP...我又抓了一个,你们看下,刚才突然发现107主机发送的UDP数据包TTL都是1,但是发送的IP地址是国外的一个IP.很奇怪

vostok · 发表于 2008-4-24 19:40:58

貌似是LLMNR过程哦，看看这台机器吧

oldjiang · 发表于 2008-4-24 20:29:20

1、第一个图片，107主机是单向流量
2、第二个图片，107主机发的是广播包、组播包
3、两个数据包文件，协议是NBNS（广播）、UDP-other（组播）、RTP（可能有视频比如IPTV）
我觉得没什么问题，只是包的频率高了一点，比如NBNS，0.2秒200个包。
关于TTL=1，请参考http://www.csna.cn/forum.php?mod=viewthread&tid=7757，不是国外IP。

bingxuelin · 发表于 2008-4-25 17:23:28

原帖由 oldjiang 于 2008-4-24 20:29 发表
1、第一个图片，107主机是单向流量
2、第二个图片，107主机发的是广播包、组播包
3、两个数据包文件，协议是NBNS（广播）、UDP-other（组播）、RTP（可能有视频比如IPTV）
我觉得没什么问题，只是包的频率高了一点 ...

这么说现在的网络这样看来没什么问题,那个107主机发的这些包对网络影响不大?
如果有的话,有什么解决办法么?
我们的这的网络结构很简单,INTERNET--顶层路由器(fori gate-60)--两个华为H3C 3COM不可网管型交换机--分别到各部门小交换机或HUB上--计算机

vostok · 发表于 2008-4-25 17:51:04

不是说了吗，貌似LLMNR过程
你分析一下你的那台机器究竟在干什么。
作为网络管理者，你应该关注的是行为而不是过程

oldjiang · 发表于 2008-4-25 19:56:34

netbios over tcp/ip 和ssdp都是可以禁用的，一个在网卡的TCP/IP属性-高级-WINS，一个在服务，如图所示

oldjiang · 发表于 2008-4-25 20:01:13

vostok说的LLMNR，我GOOGLE找了一下，是这个吗？
链路局部多播名称解析 (LLMNR) 使单个子网上的各个 IPv6 主机可以在没有 DNS 服务器的情况下互相解析彼此的名称。这项功能对于单子网家庭网络和特定的无线网络非常重要。

oldjiang · 发表于 2008-4-25 22:27:28

107主机发的这些包对网络影响大不大，要看这些包的流量占用多少带宽，一般来说小包太多会影响网络的性能，请参考http://www.csna.cn/forum.php?mod=viewthread&tid=7914。从SNIFFER1工程文件看，107机器在不到0.1秒的时间内就有108个NBNS包，太多了，感觉不正常。SNIFFER有EXPERT工具，你可以看看带宽占用，没用过，不熟。网络有何问题吗？另外fori gate-60应该是fotigate-60吧？该路由器有四个LAN口，支持端口镜像吗？

vostok · 发表于 2008-4-26 15:20:39

对哦，组播地址、端口、TTL符合特征。
不明白为什么，这么频繁的报文，带来的问题很严重。
还是针对107检查比较好

网络中某个主机感觉可能存在问题,求高人帮助分析!

本帖子中包含更多资源

本帖子中包含更多资源

回复 9# 的帖子

浏览过的版块