1 / 9 网络环路分析 一天,一个客户打电话说他们部门的内网阶段性掉线,而且频率很高,访问外网非常慢,ping 网关,时通时不通,延时较大,部门所有机器都是类似情况!初步判断,有可能是内网异常流量占用,或者广播风暴之类的故障!还好,客户在使用科来回溯产品,可以保存数据,以便于现在回放“录像”。 简单描述一下网络拓扑,比较简单,只是一个部门网络,汇聚交换机——二层交换机——用户。抓包位置,汇聚交换机作镜像,镜像端口接科来回溯分析系统。网关地址:192.168.10.1 选取时间为 28s,总流量16.312M,速率也是比较大的(如图)! 概要统计: 下载数据包分析 2 / 9 端点视图: 广播和组播流量比较大,几乎占了总流量的9 8 %。 先前的判断的方向是对的!而且还有两个无效地址 0 .0 .0 .0 ,1 6 9 .2 5 4 .1 3 4 .1 8 7 ,没有获取到地址,忘了说了,地址都是自动获得的! 看了协议视图,豁然开朗 3 / 9 是 dhcp 和 netbios 在作怪! 结合 dhcp 和 netbios 的联动性(见注释 1),初步确定是 dhcp 在作怪了,正是由于 dhcp 的缘故,所以出现了 169.254.x.x和 0.0.0.0 这样的地址。 DHCP 的工作原理(见注释 2),现在我们只说第一次登录的时候。 根据客户端是否第一次登录网络,DHCP 的工作形式会有所不同。 我们只说第一次登录的时候,当 DHCP 客户端第一次登录网络的时候,也就是客户发现本机上没有任何 IP 数据设定,它会向网络发出一个 DHCP discover 封包。因为客户端还不知道自己属于哪一个网络,所以封包的来源地址会为 0.0.0.0 ,而目的地址则为 255.255.255.255 ,然后再附上 DHCP discover 的信息,向网络进行广播。 在 Windows 的预设情形下,DHCP discover 的等待时间预设为 1 秒,也就是当客户端将第一个 DHCP discover 封包送出去之后,在 1 秒之内没有得到响应的话,就会进行第二次 DHCP discover 广播。若一直得不到响应的情况下,客户端一共会有四次 DHCP discover 广播(包括第一次在内),除了第一次会等待 1 秒之外,其余三次的等待时间分别是 9、13、16 秒。如果都没有得到 DHCP 服务器的响应,客户端则会显示错误信息,宣告 DHCP discover 的失败。 Windows 操作系统预设,客户端如果学不到地址,系统自动会把一个 169.254.x.x分配给它。之后,基于使用者的选择,系统会继续在 5 分钟之后再重复一次 ...
