主页 > 学习 | 工作 > 使用科来网络分析系统检测局域网

使用科来网络分析系统检测局域网

因公司局域网异常,无法通过TP-LINK路由器的数据包流量找出问题所在,于是部署了科来网络分析软件,通过抓包来分析网络异常的原因。

直觉判断不是ARP欺骗和病毒感染,因为基本上都装有ARP防火墙,路由器里面也双向绑定了;最大的可能是下载、上传、视频!而且这些可以人为控制,所以会造成网络时好时坏的症状。

开始部署科来的时候,一直提示配置不正确,仔细检查,发现我用的不是Hub集线器,而是switch交换机,更换后,通过测试!

未设置过滤器,直接抓包……经过分析,发现自己的推断正确了90%,还有10%是错误的:

首先,果然有人的PPLIVE插件没关,一直在不断的上传;有人打开很多含N张大图的网站,几秒钟内,流量达到几兆;有人开着QQ远程协助;有人开着在线音乐;有人挂着网页游戏……分析下,我们就4MB的网速,即1秒钟我们带宽只有4000Kbps;这样占用下来,留下的流量就很少了;所以,私下里面提醒他们该关的先给关了…哎,总不好得罪人!

果然,网速回复了正常;于是我的使命结束了,可以从放置网络设备的小房间出来了;但是我把科来的部署给留下了,并连到我工作的网线接口,这样就可以在网络出问题的时候很快的逮人了~~~

下班后,总觉得有点疑惑,将保存的科来工程重新打开一项一项的查,查到ARP一项,还是发现一点点问题!ARP协议是重要的一项,当时在公司的时候没有细看,只看到ARP数据包不大,便忽略掉了,此刻也突然想起,后来的几台电脑并没有做双向绑定,两台笔记本也一样没有绑定。…再细看的时候,果然发现一丝疑点:

 

 这台主机不停的在发ARP协议……但又不是ARP欺骗,菜鸟有点看不懂,明天找到这台机子00:26:9E:F6:CA:99,看看有啥异常的进程,异常的端口开放……

未完待续!

原创文章,转载请注明: 转载自三叶草

本文链接地址:http://www.anjing.me/136.html

特别声明:商业网站转载需经作者同意,否则视为侵权!

,

评论:1

参与评论
  1. 回复 admin 10/04/15

    问题已经解决!把没有进行绑定的电脑,进行双向绑定即可!

发表评论

邮箱地址不会被公开。

*

引用:0

下面所列的是引用到本博客的链接
使用科来网络分析系统检测局域网 来自 三叶草
顶部