补充：额老婆说额是属牙膏的，什么事情要挤才动 ，因此部分环境信息是有兄弟问起才说的。建议参与讨论的兄弟最好把每层楼都要逛到，呵呵！



一个用户报有病毒，网络流量大导致网络对外访问中断，内网访问正常。

现在问题已解决。问题是是什么原因造成的，根据Trace File文件能看到什么呢？

对正确的答案及对原理分析恰当合理的进行加分鼓励

两个包的内容一样，只是为了大家使用爱好分别做成cap的包和pkt的包。

[ 本帖最后由 fishyxq 于 2006-12-25 15:39 编辑 ]

能不能对抓包环境描述一下？

互联网-----(光纤联路)------收发器-----普通交换机(不知道为什么要这样接的,呵呵,估计是有其他兄弟单位共用这个光纤联路)------防火墙------核心交换机-----光纤收发器-----各接入层交换机(共计有20多台),此数据包在有问题的哪个工作站所在的VLAN的交换机上捕获的.

该交换机为锐捷的非网管普通交换机,无法进行端口镜像,仅仅是将带有协议分析软件的本本接到其中一个随意的端口上的.

[ 本帖最后由 fishyxq 于 2006-12-22 13:02 编辑 ]

你的本本就有没有配置IP啊?
如果没有配置,那么172.17.81.147这个IP是在哪个位置需要说明一下~

还是说这个IP是否就是中毒机器的IP?也需要告之一下!

不过,从已知情况来看,147应该不是本机,
因为是从思科交换机上发出来的,而且有被延后,

所以,初步以为,病毒引起了思科和锐捷交换机的MAC泛洪~

另外,在81网段里面有环路产生~~~

[ 本帖最后由 jingshne 于 2006-12-22 11:51 编辑 ]

引用:

原帖由 jingshne 于 2006-12-22 11:48 发表
1、不过,从已知情况来看,147应该不是本机,
因为是从思科交换机上发出来的,而且有被延后,

2、所以,初步以为,病毒引起了思科和锐捷交换机的MAC泛洪~

3、另外,在81网段里面有环路产生~~~

对两点。

再个：本人的本本地址为130；
其次：捕获数据包时该交换机并未同核心的6509相连

疑问：引起mac泛洪是由于交换机处理性能不足而导致的交换机成为hub吗（有些地方是这么说的，想找个做交换的兄弟确认下）？

欢迎大家继续。。。。。。

[ 本帖最后由 fishyxq 于 2006-12-22 13:14 编辑 ]

引用:

原帖由 fishyxq 于 2006-12-22 12:12 发表



对两点。

再个：本人的本本地址为130；
其次：捕获数据包时该交换机并未同核心的6509相连

疑问：引起mac泛洪是由于交换机处理性能不足而导致的交换机成为hub吗（有些地方是这么说的，想找个做交换 ...

没有思科设备,那他那个思科的MAC地址是哪来的?

MAC泛洪一般是由于MAC地址表项过载引起的,这似乎跟性能关系不大~

引用:

原帖由 jingshne 于 2006-12-22 13:16 发表


没有思科设备,那他那个思科的MAC地址是哪来的?

MAC泛洪一般是由于MAC地址表项过载引起的,这似乎跟性能关系不大~

没有思科设备,那他那个思科的MAC地址是哪来的?

这个正是玄妙所在，原因在兄台的另一个答案中


MAC泛洪一般是由于MAC地址表项过载引起的

想具体了解学习下，不知j兄有没有好的资料给俺学习下咯

[ 本帖最后由 fishyxq 于 2006-12-22 13:37 编辑 ]

引用:

原帖由 fishyxq 于 2006-12-22 13:30 发表



没有思科设备,那他那个思科的MAC地址是哪来的?

这个正是玄妙所在，原因在兄台的另一个答案中


MAC泛洪一般是由于MAC地址表项过载引起的

想具体了解学习下，不知j兄有没有好的资料给俺学习下咯

哦,这么说来就是缓存在交换机里面被延时发出来的了?~

记得以前wuhanzhou有发过一遍讲MAC泛洪的,不过现在一时半伙找不着,等找着了再跟你传一下

[quote]原帖由 jingshne 于 2006-12-22 14:01 发表



哦,这么说来就是缓存在交换机里面被延时发出来的了?~



不知J兄有没有注意到这个数据包的汇总信息

[ 本帖最后由 fishyxq 于 2006-12-22 14:11 编辑 ]

引用:

原帖由 fishyxq 于 2006-12-22 14:10 发表
原帖由 jingshne 于 2006-12-22 14:01 发表



哦,这么说来就是缓存在交换机里面被延时发出来的了?~



不知J兄有没有注意到这个数据包的汇总信息

呵呵,有注意到~~

只是因为时间太短,那些信息已经没有多大的参考价值~


俺个人以为,在打开捕获的一瞬间,因为多方面的原因,会有些数据不准确,所以,一般起始的那一瞬间,俺是不参考的.

这个是由于额本人的失误，当时没有打开循环捕捉

实际上我当时打开捕获到停止有10分钟，但是感觉上像是在一打开的时候sniffer的缓存就满了，哈哈

由此不知j兄有没有什么想法勒？！

还有一点就是大家有注意到额的本本sniffer（172.17.81.130）同疑问机器（172.17.81.147）之间的通讯包勒

[ 本帖最后由 fishyxq 于 2006-12-22 15:17 编辑 ]

引用:

原帖由 fishyxq 于 2006-12-22 15:11 发表
这个是由于额本人的失误，当时没有打开循环捕捉

实际上我当时打开捕获到停止有10分钟，但是感觉上像是在一打开的时候sniffer的缓存就满了，哈哈

由此不知j兄有没有什么想法勒？！

还有一点就是大家有 ...

缓存可以调大,不然的话,缓存满了就自动停了

你机器的通讯明显就是有环路啊,可是按你的说法,应该没有环境的条件,这一点倒是不明白~~~

[quote]原帖由 jingshne 于 2006-12-22 15:26 发表




你机器的通讯明显就是有环路啊



经验呀，能给个具体判断的流程吗，相信很多兄弟跟额一样想了解呀

引用:

原帖由 fishyxq 于 2006-12-22 15:40 发表
原帖由 jingshne 于 2006-12-22 15:26 发表




你机器的通讯明显就是有环路啊



经验呀，能给个具体判断的流程吗，相信很多兄弟跟额一样想了解呀

第一:IPID相同
第二:生存时间

引用:

原帖由 jingshne 于 2006-12-22 15:53 发表



第一:IPID相同
第二:生存时间

谢了，谢了，受用受用！  

还有个很有意思的地方，在抓包环境中，有疑似的那个147的机器始终没有连接在网络上。  

不知如何解释这个现象咯？！

[ 本帖最后由 fishyxq 于 2006-12-22 16:10 编辑 ]

引用:

原帖由 fishyxq 于 2006-12-22 16:07 发表



谢了，谢了，受用受用！  

还有个很有意思的地方，在抓包环境中，有疑似的那个147的机器始终没有连接在网络上。  

不知如何解释这个现象咯？！

呵呵,俺想这个原因应该综合考虑.


看他发给你的数据,其目的MAC也是思科的MAC,按说你们在同一个普通交换机的网络里,又是同一个网段,完全是没有这个必要的.

所以,可能的原因,似乎就有了设置错误或者欺骗什么的了~~~

引用:

原帖由 jingshne 于 2006-12-22 16:39 发表


呵呵,俺想这个原因应该综合考虑.


看他发给你的数据,其目的MAC也是思科的MAC,按说你们在同一个普通交换机的网络里,又是同一个网段,完全是没有这个必要的.

所以,可能的原因,似乎就有了设置错误或者欺 ...

原因在j兄的答案中，但是俺不知道为什么会出现这种 Trace File，以及如何通过这种 Trace File得出这个答案



在下周一下午3点或周二上午进行现场还原，期待大家共同分析讨论，共同学习之。

此板块中没有菜鸟和高手之分。。。。。。  

[ 本帖最后由 fishyxq 于 2006-12-22 17:27 编辑 ]

高手和菜鸟的区分太大了……偶就还是没看明白到底是为什么……

是不是有人在搞mac泛洪攻击?
还有，为什么内网能访问？既然有mac泛洪内网应该也不能访问啊。

[ 本帖最后由 zhou_li 于 2006-12-23 08:46 编辑 ]