许昌某网吧网络故障诊断-科来.docVIP

案例分析 － 许昌某网吧网络故障诊断 故障描述 故障地点： 河南省许昌某网吧 网络环境： 网吧大概有200台电脑，采用双WAN出口（电信和网通）访问互联网，网络结构较为简单，外网 路由器 主交换机 二层交换机 客户端。 故障详细描述： 同时接上两个外网出口时，整个网络访问通讯用户不能上网，在客户端进行ping包测试时发现，本地客户端严重丢包，断开外网出口，网络恢复正常，ping 故障分析 由于在断开网通的线路后，网络访问正常，初步怀疑是网通线路问题，于是用笔记本单独接网通线路测试，一切正常，所以首先排除了网通线路的问题。在排除线路问题后，我们将问题重点放在了内网主机检查上。由于网络速度缓慢并且出现断网的情况，所以怀疑网络中有主机感染ARP或其他蠕虫病毒攻击导致网络瘫痪，于是决定用科来网络分析系统抓包分析，在中心交换机上做好端口镜像，在笔记本上安装科来网络分析系统，将笔记本接到中心交换机的端口上，启动科来网络分析系统开始捕获数据，约6分钟后停止捕获并分析捕获到的数据包。 我们首先了解网络的整体运行状态，在概要统计视图中可以看到：网络的总共流量为1.828GB，而利用率则达到了近80％，这是网络缓慢的一个重要指示参数。我们再看TCP的参数信息，此处，TCP的同步数据包与结束连接数据包分别是17796和9963个，由TCP工作原理，TCP工作时首先通过三次握手连接， 图1 选择端点视图，我们发现，IP地址为这台主机的网络连接数较多，并且流量也比较大，所以，我们定位这个IP，单独对其分析。 在节点浏览器中选择， 图2 打开图表视图，我们查看该主机的TCP连接情况 图3 打开会话视图，查看该主机的TCP会话情况，如图。 图4 在该主机的TCP通讯中，我们可以看到： 通过类似的方法，我们发现：4这个IP也存在同样的行为，不过，扫描方法由TCP扫描变为了UDP扫描，目标主机也基本是内网IP，并且，其发包的频率也非常快，1秒左右的时间就会发起10个同样的数据包，以试图攻击或感染其他主机，对网络带宽的耗费是非常严重的。如图5和图6。 图5 图6 其次，我们还发现，IP为 图7 综合以上分析，我们对 许昌某网吧网络故障诊断 成都科来软件有限公司 电话：028Email：sales@ 传真：028support@ 1 / 6