现有内部网络(非internet网),有用户约500+,常因为网络堵塞影响用户的正常使用(需重启主交换)
怀疑是病毒所致,用Sniffer对流量进行监控,发现在每个VLAN中都WINS服务查询WWW.SINA.COM.CN的广播信息,而内部网络是和internet网是物理隔离的,这类信息特征如下:
1.只有WWW.SINA.COM.CN的域名查询,没有其它域名出现.
2.交换机有针对TCP 137进行堵塞,监控TCP协议只有DNS查询WWW.SINA.COM.CN的信息,UCP协议则有DNS 53和WINS 137
3.类别为NETBIOS_NS_U
请大家帮忙看看是什么问题?

[ 本帖最后由 arronax 于 2006-3-2 14:17 编辑 ]

分析一下是什么软件发起的wins查询。

老大,我也碰到同样的问题,不知道如何解决

看有没有机器开了WINS服务，一般情况下SNIFFER所报的WINS  no response信息是误报，可以不用理它。

[TOOLS]-->[EXPERT OPTIONS...]-->[ALARMS]-->[SESSION]中设为‘NO’

这几天试了下还是没找到真正原因,
前几天更换网络设备,网络已稳定运行一周,可查看端口状态,广播包占所有数据包的80%!!
几乎所有PC都在向自己VLAN网关发包(收发比率反差很大),而网关都是在接收数据包.
找了台客户端查了,没病毒.只是用木马克星发现了些广告程序.重启后还是一样.

自己顶下,大家帮忙看看

楼上的问题解决了没有，如果解决了请把解决的过程烦请告诉下。如果没有的话，请大家帮忙看看。

把捕获的包放上来吧，大家分析一下。

遇到同样的问题!
LAN内有很多机器查询什么的都有,发现这些WINS包都不一样的,此类查询长度均为92,其他的比方说在连接设置的高级设置中如果禁止TCP连接的WINS服务后重新打开就会发现机器广播一些长度比较长的200多100多的WINS包,估计是通过广播方式来通知自己的NMAE和IP地址吧.
我们局域网内没有WINS服务器,为什么还有那么多WINS信息呀,如果都禁用了,会出现什么情况?

有可能是木马。。中了之后不停的向SINA网站发包
可清掉所有的IE记录，再看看有没其它流氓软件。。。

上网搜索了一下,楼主所说的很象Wins MS04045溢出攻击,网上有它的资料,内网中有开WINS服务吗?应该是感染了
WINS木马病毒,建议打补丁,杀毒.

我们内网也有WINS服务老是连接我的445端口还和我建立IPC$连接

我是菜鸟 还请大家多多关照

希望楼主将问题解决后将方法说明一下,哈哈!