内网卡PING网关掉包,请高手帮忙分析一下(问题已解决)

yuejianhua · 发表于 2008-6-5 23:41:27

内网卡PING网关掉包,请高手帮忙分析一下,大多数都出现在上网高峰期

Snif2.part1.rar (1.39 MB, 下载次数: 56)

Snif2.part2.rar (1.39 MB, 下载次数: 48)

Snif2.part3.rar (1.39 MB, 下载次数: 51)

Snif2.part4.rar (1.39 MB, 下载次数: 45)

Snif2.part5.rar (1.39 MB, 下载次数: 59)

Snif2.part6.rar (142.2 KB, 下载次数: 40)

检查过只有一台是中毒搞好了,可惜问题还没有解决
以下是科来抓的

科来抓包.part01.rar (1.39 MB, 下载次数: 46)

科来抓包.part02.rar (1.39 MB, 下载次数: 49)

科来抓包.part03.rar (1.39 MB, 下载次数: 64)

科来抓包.part04.rar (1.39 MB, 下载次数: 46)

科来抓包.part05.rar (1.39 MB, 下载次数: 24)

科来抓包.part06.rar (1.39 MB, 下载次数: 30)

科来抓包.part07.rar (1.39 MB, 下载次数: 32)

科来抓包.part08.rar (1.39 MB, 下载次数: 30)

科来抓包.part09.rar (1.39 MB, 下载次数: 24)

科来抓包.part10.rar (948.83 KB, 下载次数: 28)

由于水平有限图制作得难看,大家就着吧

内网拓补绘图.rar (24.47 KB, 下载次数: 27)

[ 本帖最后由 yuejianhua 于 2008-7-7 21:33 编辑 ]

oldjiang · 发表于 2008-6-6 00:05:06

检查这个机器

他应该不是网关，那么这几个机器可能被欺骗了

yuejianhua · 发表于 2008-6-6 13:00:58

晕...
60.191.84.142
121.205.9.6
219.133.41.33

这几个是什么IP内网没有的

oldjiang · 发表于 2008-6-6 14:14:17

原帖由 yuejianhua 于 2008-6-6 13:00 发表
晕...
60.191.84.142
121.205.9.6
219.133.41.33

这几个是什么IP内网没有的

这些是外网IP，分别是2#第二个图中的内网机器要访问的。这些包应该发给网关而不是2#第一个图的MAC。建议检查这个mac的机器，也检查一下内网那三个机器的配置是否有误。

yuejianhua · 发表于 2008-6-6 16:24:42

晕~~~~!
00-ee-ee-00-42-13

是路由外网网卡的MAC来的

oldjiang · 发表于 2008-6-6 17:02:24

确实奇怪
1、检查70、25、40三个机器的网关配置、ARP表对不对
2、用mac地址扫描器扫描一下，看看内网是否存在这个mac
3、你是怎么部署的呢？看起来路由是个PC，sniffer装在这个PC上？
4、用科来抓个包看看，参考http://www.csna.cn/forum.php?mod=viewthread&tid=8830的4#和8#

yuejianhua · 发表于 2008-6-6 21:02:12

只有一台中毒.搞好了.问题还是没有解决~~~!科来抓包在楼顶

oldjiang · 发表于 2008-6-6 23:37:00

1、流量很大

2、为何设置了多个DNS服务器，三个服务器中第二个响应还是很快的

3、这个机器有ARP

4、流量最大的协议是CIFS，最大的会话，在拷贝文件，占了流量的三分之二

5、这个源是抓包的机器吗？

6、还是有多个mac下存在多个ip，如下图，而且还是源地址

定位58.208.42.38，有三个数据包

中间那个包的地址比较奇怪。

请描述一下拓扑，是如何部署的？如果是常规的镜像出口，应该不会抓到内网机器之间的CIFS包。
明天继续看。

[ 本帖最后由 oldjiang 于 2008-6-7 00:06 编辑 ]

yuejianhua · 发表于 2008-6-14 20:28:41

1. 内网是百M
2  路由是一台主机.内网网卡1.254       外网MAC 00-ee-ee-00-42-13
3 165这台机搞好了问题依旧
4 1.252是一台游戏更新服务器 1.253是一台虚拟盘
5 NOD以前外网升级的.也是抓包的机器,不过已经关了为什么还会显示
6 00:1c:f1:01:72:FB  是抓包的机器多个IP是因为有时网刻用,还有路由好像做过IP伪装
  还有4B结尾的还没找到

路由是一台主机里面做了PPPOE  nat DNS
主交换机是一个百M  netcore 7208tns  用两条586B连两台D-link交换机一台是des-1024d  另一台是DGS-1216T

镜像出口是已COM口配制的没有网管功能。已前用来做收银的。为什么扑到CIFS包，这个我也不清楚。
还有就是路由的外网网卡是普通的8139，补冲一点人多或人少都掉包，只不过人多就掉得厉害点

[ 本帖最后由 yuejianhua 于 2008-6-14 20:30 编辑 ]

yuejianhua · 发表于 2008-6-16 14:30:17

为什么几天都没有人来的

oldjiang · 发表于 2008-6-16 15:02:30

原帖由 yuejianhua 于 2008-6-16 14:30 发表
为什么几天都没有人来的

周末。这个贴我收藏了，等下再看。

oldjiang · 发表于 2008-6-17 09:12:28

NETCORE 7208TNS：10/100M×8，10/100M/1000M 铜模块插槽×2
DGS-1216T Gigabit Smart Switch：16-Port 10/100/1000Mbps + 2 Combo Mini GBIC
感觉用DGS-1216T做主干交换机更好，全千兆口，有Manual and Utility光盘，WEB配置，支持端口镜像

这些是从厂商网站下载的资料

7208TNS 产品功能速查手册.pdf (103.02 KB, 下载次数: 10)

DGS-1216T_D1_QIG v1-01.part1.rar (1.39 MB, 下载次数: 34)

DGS-1216T_D1_QIG v1-01.part2.rar (968.59 KB, 下载次数: 10)

oldjiang · 发表于 2008-6-17 10:26:43

你的另一个帖子，http://www.csna.cn/forum.php?mod=viewthread&tid=9259 的工程文件
1、诊断，还是有ARP请求风暴，建议参考http://www.csna.cn/forum.php?mod=viewthread&tid=7914 设过滤器抓ARP
2、有些机器访问外网的流量较大，另外有迅雷、P2P，是否做了限速呢？

3、分别查看00:D0:B7:71:C3:70、00:EE:EE:00:42:13的ARP-request包，同样是询问网关，却有两个目标地址

是不是有些机器的配置有问题呢？
00-ee-ee-00-42-13是外网网卡的MAC，我觉得ARP请求包不应该发到外网的网卡，他也不应该响应。ros我没用过，最好检查一下配置。
查看一下交换机的mac地址表，看他出现在那个端口

[ 本帖最后由 oldjiang 于 2008-6-17 10:52 编辑 ]

yuejianhua · 发表于 2008-7-7 21:35:21

搞来搞去原来是路由到主交换机的水晶头问题.换了内网已没有掉包了

lmno650 · 发表于 2008-8-9 01:30:57

提示: 作者被禁止或删除内容自动屏蔽

yaling0oo0 · 发表于 2008-8-9 14:55:31

你首先該檢查網綫部分；再檢查網卡是否是好的；最後檢查交換機的端口是否OK。

lmno650 lmno650 当前离线积分 0 头像被屏蔽	发表于 2008-8-9 01:30:57 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
lmno650 lmno650 当前离线积分 0 头像被屏蔽
	回复使用道具举报

内网卡PING网关掉包,请高手帮忙分析一下(问题已解决)

回复 5# 的帖子

浏览过的版块