帮忙分析下数据包

Question

本帖最后由 wtb_wn 于 2011-06-11 16:40 编辑

服务器出现网络流量枯竭现象，在流量达到峰值时，抓到很多以下的数据包，请帮忙看看是怎么回事：

111.png (38.23 KB, 下载次数: 4)

下载附件

2011-06-11 16:39 上传

112.png (40.58 KB, 下载次数: 3)

下载附件

2011-06-11 16:39 上传

113.png (28.41 KB, 下载次数: 5)

下载附件

2011-06-11 16:39 上传

114.png (18.46 KB, 下载次数: 3)

下载附件

2011-06-11 16:39 上传

Answer 1

源端发出的数据包分片过多导致了瞬间速率增大，超过带宽能力。

Answer 2

回复 2# slayer530

    不太明白，可以说的详细点吗？请问有什么解决办法勒？

Answer 3

udp的80包,不正常,Drop掉所有udp80的包.http是tcp的包,udp80应该是攻击

Answer 4

你好！我已经drop掉tcp和udp外出80端口的的所有数据包，不过还是有类似的数据包像外发送并且暂用网络带宽。能够QQ聊聊吗？  我的Q号：1329025750

Answer 5

UDP 分片报文。你能确定这些报文是干吗用的吗？？？？

Answer 6

看你src ip都匿了，dst ip也是同一个，显然是你自己的设备发出来的，狂发udp大包，导致分片过多，如果是防火墙设备的话，分片缓存肯定满了，不死才怪呢！找出这个进程才是主要的……

Answer 7

你说的没错！我已经使用process找出这个进程，这个进程是W3WP.EXE
这个进程产生大量的udp send的数据包，从process中看出，不是发往同一个地址的（不过发往同一个地址的很多），请问要彻底解决这个问题应当如何解决？

Answer 8

你说的没错！我已经使用process找出这个进程，这个进程是W3WP.EXE
这个进程产生大量的udp send的数据包，从process中看出，不是发往同一个地址的（不过发往同一个地址的很多），请问要彻底解决这个问题应当如何解决？

Answer 9

那么你要搞清楚这个进程是干嘛的。是不是合法的服务进程，如果不是那么想办法干掉它吧。