麻烦大家分析下!!!准点出的问题

huguo · 发表于 2008-7-8 21:04:56

麻烦大家分析下!!!准点出的问题

huguo · 发表于 2008-7-8 21:06:30

刚才捕的数据!!!! 奇怪是我的网关是192.168.0.1, 那时间有ping 192.168.1.1 也通了二十个包!

[ 本帖最后由 huguo 于 2008-7-8 21:13 编辑 ]

oldjiang · 发表于 2008-7-8 23:41:29

1、这个机器有两个ip，而251是你抓包的机器

2、诊断视图，所有事件的计数都是一样的，第一次见到

3、ip250机器的连接数有286个，协议有emule，dns查询barvod，像是在p2p下载，250是个什么机器？连接数多的还有ip74等
4、ping网关丢包严重

5、局域网上有这两个子网的ip吗？给172发包的是ip123的机器。

建议设过滤器抓这两个子网的包，现做了一个，供参考，明天再把它完善一下

privateIp.rar (456 Bytes, 下载次数: 7)
6、建议参考http://www.csna.cn/forum.php?mod=viewthread&tid=9417的5#的ARP过滤器，看看有无ARP问题，这个可以比较长时间的抓包。
7、请描述一下拓扑、路由器型号、部署方法和位置

oldjiang · 发表于 2008-7-8 23:57:32

流量有超过10Mbps的，上网带宽有多少？
参考http://www.csna.cn/forum.php?mod=viewthread&tid=9442的56#，用solarwinds的snmp graph 持续观察一下路由器的流量和利用率。

huguo · 发表于 2008-7-9 01:16:34

10M,我这边是10M

huguo · 发表于 2008-7-9 01:20:35

它是准时，每天这时候会出问题！！！明天一早上来联系！！感谢版主！

oldjiang · 发表于 2008-7-9 08:51:09

修改后的私有ip过滤器
给私有ip发包，可能是p2p软件，但是能ping通192.168.1.1就比较奇怪了

huguo · 发表于 2008-7-9 09:03:41

网络是

光纤→路由→磊科24主千兆交换机→服务器全在主交换(IP105是游戏的,IP250电影服务，IP252是收银)

huguo · 发表于 2008-7-9 09:04:03

请教，你传的包，我怎么用!!

huguo · 发表于 2008-7-9 09:05:37

对了，我这出问题时，路由绝对挂掉，我是两台路由来回交换用的!!一台挂死就立马换就可以，不换的话，怎么都不行!!!

oldjiang · 发表于 2008-7-9 10:20:20

工程设置-过滤器

导入

导入后

双点他可以看到内容

双点每个成员可以看到细节

bingxuelin · 发表于 2008-7-9 13:58:48

哎,看了半天也看不出什么来,光知道250那台机器连接数最多,还有IP为74的电脑连接数270个,IP为92的连接数为136个,应该是在下载东西吧,至于具体用什么下载的,我从协议里面看不到EMULE和P2P的,基本上全是HTTP和UDP数据多,能否讲解一下怎么看的,从端口看?我从网上查了一些常用软件使用的端口,可都不一样,有点迷糊....

oldjiang · 发表于 2008-7-9 14:09:55

回复12#
协议视图有emule

“能否讲解一下怎么看的”，讲解什么呢？我喜欢交流
除了常用端口，端口往往是随机的，特别是本地端口，所以我一般不看端口

bingxuelin · 发表于 2008-7-9 14:57:07

是存在协议里,但数据量仅有82B,难道它只是起到一个开头连接的作用后,就转用其它的方式获取数据了?
更多的数据通信都是在TCP里面,OTHER的最多

我拿过来一个工程,我现在一般先看诊断里的提示,然后看端点,查看各个机器的数据流量多少,连接数多少,还有发送/接收数据包来看是哪台机器可能存在问题,不知道高手们都是怎么个顺序或者是怎么着手分析?

oldjiang · 发表于 2008-7-9 17:27:13

1、P2P都是这样的，协议只用于握手，真正的传输用TCP或UDP
2、看的顺序差不多，基本就是视图的顺序。节点浏览器有无一个mac对应多个ip，端点、协议除了看流量还看每秒位，ARP协议，单播矩阵判断部署，对流量大、包数多、连接多的端点或协议再定位分析。流量分析主要看按IP端点浏览的本地子网。如http://www.csna.cn/forum.php?mod=viewthread&tid=9618的2#

[ 本帖最后由 oldjiang 于 2008-7-9 18:01 编辑 ]

linminwww · 发表于 2008-7-9 20:03:09

192.168.0.90上传数据比较大，
你的电影服务器的网络连接数太多了达到1千多快占整个网络连接数的一大半
你是不是每天到了这个时候电影服务器就开始下电影啊

huguo · 发表于 2008-7-11 16:47:19

终于有等到出问题了，这次是等到凌晨一点多出的问题，麻烦大家帮忙了

huguo · 发表于 2008-7-11 22:24:20

我在顶下，麻烦大家了，这问题困扰我一个月了!!!

huguo · 发表于 2008-7-12 14:37:25

一直在线中！！！！！！！

oldjiang · 发表于 2008-7-14 10:09:30

多个mac下出现0.0.0.3的地址

诊断有ARP，建议使用过滤器抓ARP

节点浏览器有非局域网的私有地址，建议使用过滤器抓私有地址包

另外，流量接近带宽，建议做限速

oldjiang · 发表于 2008-7-14 17:06:03

既然故障有规律，参考http://www.csna.cn/forum.php?mod=viewthread&tid=9417的9#，观察一下故障前后路由器的流量和利用率。路由器是什么型号？支持SNMP吗？

huguo · 发表于 2008-7-14 17:07:05

我的流量是10M，这样话，已经超了，做过限速的，请问过滤器抓私有地址包，是说的只抓我192.168.0.1全部的数据吗?诊断有ARP，建议使用过滤器抓ARP是怎样呢!!

一直到今天还是这样的情况，八点到十二点之间一定会掉线!!

oldjiang · 发表于 2008-7-14 17:19:28

按11#导入privateIp过滤器，抓10、172等地址的包
按http://www.csna.cn/forum.php?mod=viewthread&tid=9417的5#设过滤器，抓APR包
各运行一个科来的实例，可以同时抓包

麻烦大家分析下!!!准点出的问题

回复9#

回复 14# 的帖子

回复 22# 的帖子