192.168.190.8为网关,192.168.190.244为安装SNIFFER进行抓包的PC.
发现大量的广播和组播包,网速很慢.

网络拓扑贴上来

这个网络很简单,就是全部都是一个广播域,大家上班的时候就带很多笔记本来上网,IP地址的和MAC地址绑定的,网关是192.168.190.8,抓包的PC的IP为192.168.190.244,请帮我分析下,谢谢了!我知道SNIFFER功能强大, 不过我刚接触

顶啊!!

Top 10 流量排序如下，逐一分析。
（图01）


◎流量01：192.168.190.244－218.30.66.101
过滤。（图02）


Decode，tcp三次握手正常，后续包访问www.hao123.com。是你自己在访问吧。

◎流量02：192.168.190.244－192.168.190.8
过滤。（图03）


Decode，可见，你在ping网关，你自己产生的流量也不小啊。

◎流量03：192.168.190.33－239.255.255.250
◎流量08：192.168.190.133－239.255.255.250

过滤。（图04）


这是xp的SSDP Discovery Service服务，以前试过在控制面板的关闭该服务，但仍然发包，杀毒也没查出什么来，可就是非常占带宽，所以干脆在那台机上arp –s解决了。
后来才知道有些影音播放软件也会产生这些包。。。

◎流量04：192.168.190.100－192.168.190.255
◎流量05：192.168.190.42－192.168.190.255
◎流量07：192.168.190.243－192.168.190.255
◎流量09：192.168.190.7－192.168.190.255
◎流量10：192.168.190.29－192.168.190.255

过滤。（图05）



看上去都只是些share访问、wins、browser选举之类的本网段广播包而已，没什么特别。

◎流量06：192.168.190.243－broadcast 255.255.255.255
过滤。（图06）


源和目的port都是1004的全网广播，应该是开了迅雷了。

◎arp
另外检查了一下arp，没什么特别，没有arp攻击之类的东西。

◎最后看看statis：
（图07）



Capture time是2分46秒，共约166s，共91632byte，每秒约552byte/s；而100Mbps网络＝12.5Mbyte/s，离网络满负荷能力远着呢，552byte/12.5Mbyte=0.00004416，难怪average utilzation＝0％。

◎结论

没有发现太特别影响网速的东西，是不是你所说的很多笔记本都用无线接到ap上了，所以在这交换环境中也没有完全sniffer到真实流量？
不知道分析得对否，请各位指正，谢谢！

不会呀






































365玄幻小说

对啊，自己产生的流量也不少啊！

又学习啦，不错

学习!