緊急求救SOS:網絡問題

jjjkey · 发表于 2006-8-10 16:15:14

公司網絡為光纜接入
win2003做路由訪問,
100台客戶端IP地址動態分配,

最近網絡發現有�?常,但不是全部癱瘓
服務器和客戶端已進行統一排毒(卡巴斯基企業版4.5)
找不到問題原因.

�?常表現:
1.msn登不上或經常掉線
2.internet訪問很慢,能找到地址但一直延遲到斷線
3.局域網內部訪問也有延遲,但表現為前幾分鐘或幾秒時間正常,然後失去連線
4.�?常系統多為XP,重裝系統後問題依舊,換網絡接入端口後測試也一樣

拜託大家幫我分析下原因.

ValorZ · 发表于 2006-8-10 19:37:39

00:e0:4c:71:4e:ba 这个MAC地址是你的网关机器的网卡的吗？

[ 本帖最后由 ValorZ 于 2006-8-10 19:48 编辑 ]

jjjkey · 发表于 2006-8-10 21:20:12

是的......

win2003双网卡,内网网卡的MAC

ValorZ · 发表于 2006-8-10 22:22:03

192.168.2.8
192.168.2.10
192.0.1.5
这3台机器是什么角色？

jjjkey · 发表于 2006-8-11 08:42:44

192.168.2.10 是網關,win2003雙網卡內部IP
192.168.2.8是兩岸專線語音網關,台灣--大陸通話專線
192.0.1.5是遠端郵件服務器,也可透過192.168.2.8語音網關傳送

ValorZ · 发表于 2006-8-11 09:46:14

你抓包的时候网络正常嘛？

artico · 发表于 2006-8-11 10:04:48

有问题的机子IP是那些。。最好在问题PC直接抓个数据上传看看。。

artico · 发表于 2006-8-11 10:11:47

192.168.2.93是网关接外网卡IP吗？

ValorZ · 发表于 2006-8-11 10:20:37

原帖由 artico 于 2006-8-11 10:11 发表
192.168.2.93是网关接外网卡IP吗？

外网IP不可能是192.168.0.0/16开头的..

jjjkey · 发表于 2006-8-11 10:48:12

测试时网络是没问题的

菜鸟人飞 · 发表于 2006-8-11 10:56:14

检查一下192.168.2.90和192.168.2.113

jjjkey · 发表于 2006-8-11 11:06:08

最新的抓包数据，90，113都用卡巴4.5扫毒过，113那台msn会时常掉线

菜鸟人飞 · 发表于 2006-8-11 11:13:58

你抓包以后可以说下抓包时的情况是怎样，这样可能更便于兄弟姐妹们分析。

另外，你说113会MSN掉线，你专门捕获113在掉线时的数据包呢？

jjjkey · 发表于 2006-8-11 11:21:32

抓包时情况：
1,局域网内电脑网络多数正常
2，部分电脑网络异常表现为：网页地址能找到但打不开，msn登不上或登上就断，访问局域网内电脑联线后几分钟后断线
3，网络异常的电脑重装系统或换正常的网络接口表现仍旧一样

artico · 发表于 2006-8-11 11:28:54

网关内网卡的默认网关为什么不填上外网卡IP？

jjjkey · 发表于 2006-8-11 11:36:01

原帖由 artico 于 2006-8-11 11:28 发表
网关内网卡的默认网关为什么不填上外网卡IP？

這個必要嗎 ? 這個好像不用填的吧,?K確不填網落之前都是正常的

ValorZ · 发表于 2006-8-11 11:52:44

192.168.2.90这台机器在扫描整个网段..
其次，楼主能提供一下网络拓扑图嘛？

zmc837 · 发表于 2006-8-11 16:07:53

楼主，我已经找出明确原因了，是192.168.2.90(mac:035b)机器，因为现在忙，你现处理这台机器，等下我在给你具体依据！

jjjkey · 发表于 2006-8-11 16:31:35

原帖由 ValorZ 于 2006-8-11 11:52 发表
192.168.2.90这台机器在扫描整个网段..
其次，楼主能提供一下网络拓扑图嘛？

2.90确实中了木马，现已经排除，但异常状况仍旧存在。

拓普图我整理下发上来，先传个异常电脑(192.168.2.112)的包帮我分析下

ValorZ · 发表于 2006-8-11 16:49:40

抓包持续时间太少了，抓长时间一点吧？才9K..？

jjjkey · 发表于 2006-8-11 16:53:40

原帖由 ValorZ 于 2006-8-11 16:49 发表
抓包持续时间太少了，抓长时间一点吧？才9K..？

不是时间少阿，相对于正常的电脑已经到好几M了，就是他不正常才少，我再抓久点

zmc837 · 发表于 2006-8-11 17:01:27

回来了，依据补充上来，影响整个网络可能不是一台机而已，因为抓包时间不长，判断不全面。

zmc837 · 发表于 2006-8-11 17:02:22

tcp三次握手不全，进行syn攻击

zmc837 · 发表于 2006-8-11 17:03:08

用不同的源端口进行135端口攻击

zmc837 · 发表于 2006-8-11 17:04:00

端口：135
服务：Location Service
说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。

artico · 发表于 2006-8-11 17:05:17

原帖由 jjjkey 于 2006-8-11 16:31 发表

2.90确实中了木马，现已经排除，但异常状况仍旧存在。

拓普图我整理下发上来，先传个异常电脑(192.168.2.112)的包帮我分析下

(192.168.2.112)的MSN登陆不上去吧。。。应该是台湾MSN服务器的问题。。

[ 本帖最后由 artico 于 2006-8-11 17:22 编辑 ]

zmc837 · 发表于 2006-8-11 17:07:35

如果排除了2.90机器还不正常的话，有时出现大面积网络瘫痪往往不是一台机的结果，而已多台机器的共同影响结果，需耐心排除

artico · 发表于 2006-8-11 17:21:12

原帖由 zmc837 于 2006-8-11 17:07 发表
如果排除了2.90机器还不正常的话，有时出现大面积网络瘫痪往往不是一台机的结果，而已多台机器的共同影响结果，需耐心排除

有上不明白：看看捕获的图，，数据量不多所以对整个局域网的带宽是没太大的影响。只是为什么现象只是表现在几台XP的电脑没正常工作？想想，应该不是ARP扫描（从前面的分析看出还没有攻击）引起此XP电脑的问题，应该是其它问题？

jjjkey · 发表于 2006-8-14 10:05:30

原帖由 zmc837 于 2006-8-11 17:04 发表
端口：135
服务：Location Service
说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位 ...

2.90已排除木马, 并也进行断网测试,网络仍旧异常..

我重新抓包了,请帮我再分析下,谢谢!(共三个压缩档)

jjjkey · 发表于 2006-8-14 10:06:18

原帖由 jjjkey 于 2006-8-14 10:05 发表

2.90已排除木马, 并也进行断网测试,网络仍旧异常..

我重新抓包了,请帮我再分析下,谢谢!(共三个压缩档)

压缩档三............

緊急求救SOS:網絡問題

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源