奇怪的网络异常,请大侠看看
网络情况:交换机下接PC,用routeros软路由控制上网,网络地址:192.168.168.0/24,网关:192.168.168.1,设置路由器的ARP绑定和IP/MAC绑定。
异常情况:最近经常发现不定时的间隙性的连接不上路由器,局域网连接正常;使用MAC能登录路由器,使用IP不能登录;外网掉线,时长1-2分钟不等。
异常抓取:用HA_SmartSniff-v1.51抓包,由于没有镜像,只能抓到组播包。但是每次异常抓包发现,有异常的UDP流量,达到几百KB每秒。当有UDP异常流量的时候,网络出现如上故障。
包内容如下:
索引 : 55
协议 : UDP
本地地址 : 119.101.10.250
远程地址 : 192.168.168.146
本地端口 : 7154
远程端口 : 4959
服务名称 :
包 : 2
数据大小 : 2,076 字节
总大小 : 3,198 字节
数据速度 : 126.7 KB/秒
捕获时间 : 2013-02-12 23:32:58:015
最后包时间 : 2013-02-12 23:32:58:031
本地MAC地址 :
远程MAC地址 :
本地IP国家 :
远程IP国家 :
==================================================
==================================================
索引 : 2473
协议 : UDP
本地地址 : 171.10.52.58
远程地址 : 192.168.168.159
本地端口 : 8090
远程端口 : 10159
本地主机 :
远程主机 :
服务名称 :
包 : 261,518
数据大小 : 10,460,866 字节
总大小 : 17,783,438 字节
数据速度 : 145.8 KB/秒
捕获时间 : 2013-02-03 11:53:07:140
最后包时间 : 2013-02-03 11:54:58:765
本地MAC地址 :
远程MAC地址 :
本地IP国家 :
远程IP国家 :
==================================================
先考虑病毒感染,但是局域网机器不定,出现许多台都有。1-3分钟之内就恢复正常……
请大侠看看,是不是病毒呢?还是其他什么原因?
[解决办法]
一一断开台式机测试
[解决办法]
几百K的UDP不能造成断网,可能是伴随状况.
根据描述,应该是ARP 病毒了. 使用MAC能登录路由器,使用IP不能登录很能说明问题.
你说你在路由绑定了静态ARP?确认一下.一定要有.
另外,在一台客户端绑定arp -s 网关IP 网关MAC. 看看别的电脑不能上网时,它能不能上.能上就是ARP病毒.
[解决办法]
悲剧,估计被黑了
[解决办法]
看看局域网中是不是存在kido病毒吧,大量连接139、445端口的估计是蠕虫病毒
[解决办法]
有没有安装虚拟网卡或者虚拟机之类,造成网络冲突
[解决办法]
哈,可以在每台机子上装"管理"软件或者"杀毒"软件看日志嘛
