因公司局域网异常,无法通过TP-LINK路由器的数据包流量找出问题所在,于是部署了科来网络分析软件,通过抓包来分析网络异常的原因。
直觉判断不是ARP欺骗和病毒感染,因为基本上都装有ARP防火墙,路由器里面也双向绑定了;最大的可能是下载、上传、视频!而且这些可以人为控制,所以会造成网络时好时坏的症状。
开始部署科来的时候,一直提示配置不正确,仔细检查,发现我用的不是Hub集线器,而是switch交换机,更换后,通过测试!
未设置过滤器,直接抓包……经过分析,发现自己的推断正确了90%,还有10%是错误的:
首先,果然有人的PPLIVE插件没关,一直在不断的上传;有人打开很多含N张大图的网站,几秒钟内,流量达到几兆;有人开着QQ远程协助;有人开着在线音乐;有人挂着网页游戏……分析下,我们就4MB的网速,即1秒钟我们带宽只有4000Kbps;这样占用下来,留下的流量就很少了;所以,私下里面提醒他们该关的先给关了…哎,总不好得罪人!
果然,网速回复了正常;于是我的使命结束了,可以从放置网络设备的小房间出来了;但是我把科来的部署给留下了,并连到我工作的网线接口,这样就可以在网络出问题的时候很快的逮人了~~~
下班后,总觉得有点疑惑,将保存的科来工程重新打开一项一项的查,查到ARP一项,还是发现一点点问题!ARP协议是重要的一项,当时在公司的时候没有细看,只看到ARP数据包不大,便忽略掉了,此刻也突然想起,后来的几台电脑并没有做双向绑定,两台笔记本也一样没有绑定。…再细看的时候,果然发现一丝疑点:
这台主机不停的在发ARP协议……但又不是ARP欺骗,菜鸟有点看不懂,明天找到这台机子00:26:9E:F6:CA:99,看看有啥异常的进程,异常的端口开放……
未完待续!
原创文章,转载请注明: 转载自三叶草
特别声明:商业网站转载需经作者同意,否则视为侵权!
评论:1
参与评论