这些都是写打印机，smb 的信息，我看不太懂，会导致我故障吗？

有时候不一定什么都要抓包，你看看交换机的负载，流量等升级一下ios都是可以解决的。

交换机什么型号?

网络流量情况如何啊?

3com cb9000
网络流量不知道如何监控

SOLARWINDS就可以监控，设备配置SNMP就可以了。

网络中的128.1那个地址是网关还是一个什么服务器勒。google了一下关于SMB的一些资料看能不能参考：

Windows 中缓冲区溢出可能导致数据损坏 (817606)


最初发布日期；2003-07-09

摘要：

本公告的读者对象：使用 Microsoft® Windows® NT、Microsoft Windows 2000 或 Microsoft Windows XP 的客户

安全漏洞的影响：允许攻击者执行他们选择的代码

最高严重等级：重要

建议：管理员应考虑安装修补程序。

受影响的软件：

Microsoft Windows NT Server 4.0

Microsoft Windows NT Server 4.0 Terminal Server Edition

Microsoft Windows 2000

Windows XP Professional

不受影响的软件：


Microsoft Windows Server 2003
技术说明：

服务器信息块 (SMB) 是 Windows 用来共享文件、打印机、串行端口以及使用命名管道和邮件插槽在计算机之间进行通信的 Internet 标准协议。在网络环境中，服务器使客户端可以使用文件系统和资源。客户端发出 SMB 资源请求，服务器则按客户端服务器请求-响应协议作出 SMB 响应。

在服务器验证 SMB 数据包参数的方式中存在缺陷。当客户端系统向服务器系统发送 SMB 数据包时，数据包中包含为服务器提供一整套"指令"的特定参数。在此情况下，服务器未能正确验证数据包建立的缓冲区长度。如果客户端指定的缓冲区长度小于所需长度，可能导致缓冲区溢出。

通过发送一个专门制作的 SMB 数据包请求，攻击者可以使缓冲区发生溢出。如果被利用，将导致数据损坏、系统发生故障，或者更糟的是，可能允许攻击者执行其选择的代码。攻击者需要一个有效的用户帐户，并需由服务器授权方能利用这一缺陷。

减轻影响的因素：

Windows Server 2003 不受这一漏洞的影响。

默认情况下，不可能匿名利用这一缺陷。攻击者须在尝试向服务器发送 SMB 数据包之前获得服务器授权。

在防火墙上阻隔 139/445 端口将消除攻击者通过 Internet 进行攻击的可能。

严重等级： Windows 2000 重要
Windows NT Server 4.0
重要
Windows XP Professional
重要

上面的评估是基于薄弱环节影响的系统类型、典型的部署模式和暴露薄弱环节后的影响而作出的。

隐患标识符：

CAN-2002-0350
测试过的版本：
Microsoft 对 Windows NT Server 4.0、Windows NT Server 4.0 Terminal Services Edition、Windows 2000、Windows XP 和 Windows Server 2003 进行了测试，以便评估它们是否受这些漏洞的影响。此前的版本不再受支持，它们可能会也可能不会受这些漏洞的影响。


常见问题：

该漏洞的范围有多大？


这一 buffer overrun 漏洞可能导致数据损坏、系统发生故障，或允许攻击者执行其选择的代码。

要成功利用此缺陷，攻击者首先需获得服务器授权。默认情况下，不可能匿名利用此缺陷。

此漏洞因何而起？


这一漏洞是由于系统对某些传入的 SMB 数据包的缓冲区大小验证不足而引起的。SMB 是基于客户端至服务器的协议。当客户端系统向服务器发送 SMB 命令时，服务器应该验证数据包中设置的参数并进行相应的响应。
出现这一缺陷时，接收系统未在响应之前对缓冲区的大小进行必要的验证。这将引起缓冲区溢出，从而造成数据损坏、系统故障或允许攻击者执行其选择的代码。

何谓 SMB？


SMB（服务器信息块）及其后继 Common Internet File System 是 Windows 用来共享文件、打印机、串行端口以及使用命名管道和邮件插槽在计算机之间进行通信的 Internet 标准协议。在网络环境中，服务器使客户端可以使用文件系统和资源。客户端发出 SMB 资源请求，服务器则按客户端服务器请求-响应协议作出 SMB 响应。

此漏洞同样影响 CIFS 吗？


公共 Internet 文件系统 (CIFS) 是 Internet 标准协议。此处所述之漏洞存在于 Microsoft 的协议实施之中，而非协议本身内。

Microsoft 的协议实施存在什么问题？


在服务器验证 SMB 数据包参数的方式中存在缺陷。当客户端系统向服务器系统发送 SMB 数据包时，数据包中包含为服务器提供一整套"指令"的特定参数。在此情况下，服务器未能正确验证数据包建立的缓冲区长度。如果客户端指定的缓冲区长度小于所需长度，可能导致缓冲区溢出。而这可能导致随机数据被写入内存中，从而引起数据损坏或系统故障，或可能允许攻击者执行其选择的代码。

攻击者可能利用此漏洞从事何种活动？


如果攻击者能够成功地利用此漏洞，他们可以使随机内存区被覆盖。这样做的后果可能是数据损坏、系统故障或者允许攻击者执行其选择的代码。

哪一类数据会被损坏？


实质上，内存中的任何数据都有可能被随机覆盖。最糟糕的情况是，系统内存可能被覆盖，从而使服务器出现故障。

攻击者可能如何利用此漏洞？


攻击者可以通过创建一个格式错误的 SMB 数据包并将其发送给服务器，利用这一漏洞。
攻击者首先需要一个由服务器授权的有效用户名和密码。默认情况下，匿名利用这一漏洞是不可能的。


修补程序有何用途？


修补程序通过对 SMB 数据包中设置的参数进行正确的验证，从而消除漏洞。

获取修补程序的途径

该修补程序的下载位置

Windows NT 4.0 Server
Windows NT 4.0, Terminal Server Edition
Windows 2000
Windows XP 32 bit Edition
Windows XP 64 bit Edition
有关该修补程序的附加信息

安装平台：

此修补程序可以安装在下列系统上：

Windows NT Server 4.0：Windows NT Server 4.0 修补程序可安装在运行 Service Pack 6a 的系统上。

Windows NT Server Terminal Server Edition：
Windows NT Serve Terminal Server Edition 修补程序可安装在运行 Windows NT Server Terminal Server Edition Service Pack 6 的系统上。

Windows 2000：
Windows 2000 修补程序可安装在运行 Windows 2000 Service Pack 3 的系统上。

Windows XP：
Windows XP 修补程序可安装在运行 Windows XP Gold 或 Windows XP Service Pack 1 的系统上。

是否包括在将来的 Service Pack 中：

此问题的修复程序包含在 Windows 2000 Service Pack 4 中。

此问题的修复程序将包含在 Windows XP Service Pack 2 中。

是否需要重新启动：是。

修补程序是否能卸载：是。

取代的修补程序：无。

验证修补程序安装：

要验证修补程序已安装到系统上，请确认已在系统上创建了以下注册表项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\…\817606

要验证单个文件，请使用以下注册表项中提供的日期、时间和版本信息：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Updates\…\817606\Filelist

注意事项：

无

本地化：此修补程序的本地化版本可从本布告中"获取修补程序"一节所述的位置获得。

获取其他安全修补程序：

有关其他安全问题的修补程序可从以下位置获得：

安全修补程序可以从 Microsoft Download Center（Microsoft 下载中心）获得，并可轻松地通过搜索关键字“security_patch”找到。
有关客户平台的修补程序可从 WindowsUpdate Web 站点获得。
其他信息：

鸣谢


Microsoft 衷心感谢您向我们报告了此问题并与我们一起致力于保护客户的利益。


支持：

Microsoft 知识库文章 817606 讨论了此问题，文章将于此公告发布约 24 小时后提供。知识库文章可以在 Microsoft 在线支持 Web 站点上找到。

技术支持可以从 Microsoft 产品支持服务获得。与安全修补程序相关的支持电话是免费的。

安全性资源：Microsoft TechNet Security Web 站点提供有关 Microsoft 产品安全性的附加信息。

免责声明：

Microsoft 知识库中的信息是按"原样"提供的，不带任何形式的担保。Microsoft否认所有明示或暗示的担保，包括适销性和针对特定目的的适用性的担保。即使 Microsoft Corporation 或其供应商事先已被告知损害发生的可能性，Microsoft Corporation 或其供应商也不就任何直接、间接、意外或必然的企业利润损失或特殊损害承担任何责任。一些州不允许排除或限制对必然或意外损害所负的责任，因此上述限制可能不适用。

修订版本：

1.0 版（2003 年 7 月 9 日）：公告已发布。

128.1 是 windows 2000 域服务器和打印服务器

大致看了一下，抓的包上面好像没有什么问题的
想问一下，那个48的机器是SNIFFER的吗？整个包是你做端口镜像过来的吗？

不知道交换机上有没有划分VLAN，如果没有，可以将你所在的工作站单独化在一个VLAN，然后将VLAN1全部镜像到你所在的VLAN（不知3COM交换机是否支持这种样式）来获取数据包，要不根据你现在的包我个人感觉是很难判断的。

根据现有包情况，看到有以下内容：（我也是刚开始用，分析不好，本着学习的态度在此抛砖引玉咯！）

1、3com交换机定期在发广播包，可能是交换机固有的通讯，应当不是造成危害的主要原因；

2、48的工作站好像在网上跟一个公网的IP传递什么咚咚，查协议列表得出的
ehtp            1295/tcp   End-by-Hop Transmission Protocol
ehtp            1295/udp   End-by-Hop Transmission Protocol（不明白是干什么的）
这个包不多，应当也没有问题，但是我在访问这个外网地址时无法访问，不知何故？

3、包中基本是48的工作站同是 windows 2000 域服务器和打印服务器之间SMB和打印协议，查询端口得知是采用445的方式，从http://www.xfocus.net/articles/200408/723.html我们可以看到如下叙述：
SMB   （Server Message Block）
从Windows 2000开始，微软引入了SMB Direct Over TCP的445端口。上述的137、138、139 端口虽然被保留，并可正常工作，但是默认情况下，系统总是会使用445端口进行SMB会话，仅在445端口工作失败的情形下，才会使用139端口作为sessionPort。445端口默认情况下是始终开放的。

我上次在一个企业的网络病毒紧急处理工作中，也发现有多台机器以组播的方式发送SMB包和另外一个打印服务包，后来得知他们有多个文件服务器和WINS服务器，3个域控，而且包很小，那个里面的应当是正常的。但是有近10台机器也是同样的表现，发这种包的密度很高，过去看是机器的补丁没有打而造成的蠕虫入侵造成的。

而你这里的包仅仅有2分多钟，字节也教多。我想如果不是这台48的机器在做正常的工作，就是有可能感染病毒。

但是这个只是两个节点之间的访问，如果两个工作站都是接在你出现故障的交换机上，我想是不是你们还有其他的工作站也有这样的连接以及通讯的数据包也有类似的大量的SMB连接和打印连接，如果是的话我想可能是局域网内的工作站是不是有可能感染病毒了或有什么系统补丁没有打。

本来准备今天下午详细看看你捕获的包，但是公司安排外出，没有详细看。现在外面，也没有SNIFFER，不能看包的内容，所以胡乱说了一些。请大家指教指教咯。

最后提个建议：能否在出现故障现象的时候抓些整个交换机的包看看！让我们学习学习！

你的分析很详细的，思路很清晰呀，学习。。。

引用:

Originally posted by maysen at 2005-6-9 08:25 AM:
3com cb9000
网络流量不知道如何监控

你们的核心交换机太老了。。。。

建议换了吧！

CoreBuilder9000 3Com早就卖掉了。。