2019年案例分析-某中学网络故障诊断.docVIP

某中学网络故障诊断 成都科来软件有限公司 电话：028Email：sales@ HYPERLINK "" 传真：028support@ PAGE 6 / NUMPAGES 6 案例分析 － 某中学网络故障诊断 故障描述 故障地点： 江苏省某中学校园网 故障现象： 严重网络阻塞，客户机之间相互ping时严重丢包，校园网用户访问互联网的速度非常慢，甚至不能访问。 故障详细描述： 整个校园网突然出现网络通讯中断，内部用户均不能正常访问互联网，在机房中进行ping包测试时发现，中心机房客户机对中心交换机管理地址的ping包响应时间较长且出现随机性丢包，主机房客户机对二级交换机通讯的通讯丢包情况更加严重。矚慫润厲钐瘗睞枥庑赖賃軔朧碍鳝绢懣硯涛镕頃赎巯驂雞虯从躜鞯烧。 故障详细分析 前期分析 初步判断引起问题的原因可能是： 交换机ARP表更新问题 广播或路由环路故障 病毒攻击 需要进一步获取的信息： ARP信息 交换机负载 网络中传输的原始数据包 故障具体分析排查 开始实际具体排查工作： 在主机房的客户机和以下的客户机上分别使用“arp –a”命令查看ARP缓存信息，结果正常； 登录中心交换机查看各端口的流量，由于交换机反应速度较慢，操作超时，无法获得负载的实际流量； 使用科来网络分析系统5.0捕获并分析网络中传输的数据包，具体过程如下。 在中心交换机上做好端口镜像配置操作，并将分析用笔记本接到此端口上，启动科来网络分析系统5.0捕获分析网络的数据通讯，约2.5分钟后停止捕获并分析捕获到的数据包。聞創沟燴鐺險爱氇谴净祸測樅锯鳗鲮詣鋃陉蛮苎覺藍驳驂签拋敘睑绑。 XX中学校园网的主机约为1000台，一般情况下，同时在线的有600台左右。在停止捕获后，我们在科来网络分析系统5.0主界面左边的节点浏览器中发现，内部网络（Private-Use Networks）同时在线的IP主机达到了6515台，如图1，这表示网络存在许多伪造的IP主机，网络中可能存在伪造IP地址攻击或自动扫描攻击。残骛楼諍锩瀨濟溆塹籟婭骒東戇鳖納们怿碩洒強缦骟飴顢歡窃緞駔蚂。 选择连接视图，发现在约2.5分钟的时间内网络中共发起了3027个连接，且状态大多都是客户端请求同步，即三次握手的第一步，由TCP工作原理可知，TCP工作时首先通过三次握手发起连接，如果请求端向不存在的目的端发起了同步请求，由于不会收到目的端主机的确认回复，其状态将会一直处于请求同步直到超时断开，据此，我们现在更加断定校园网中存在自动扫描攻击。酽锕极額閉镇桧猪訣锥顧荭钯詢鳕驄粪讳鱸况閫硯浈颡閿审詔頃緯贾。 详细查看图1的连接信息，发现这些连接大多都是由19主机发起，即连接的源地址是19。选中源地址是19的任意一个连接，单击鼠标右键，在弹出的右键菜单中选择“定位浏览器节点>>端点1 IP”，这时节点浏览器将自动定位到19主机。彈贸摄尔霁毙攬砖卤庑诒尔肤亿鳔简闷鼋缔鋃耧泞蹤頓鍥義锥柽鳗铟。 （图1 网络中的TCP连接信息） 选择图表视图，并选中TCP连接子视图项，查看19主机的TCP连接情况，如图2所示。查看图2可知，19这台主机在约2.5分钟的时间内发起了2800个连接，且其中有2793个连接都是初始化连接，即同步连接，这表示19主机肯定存在自动扫描攻击。謀荞抟箧飆鐸怼类蒋薔點鉍杂篓鳐驱數硯侖葒屜懣勻雏鉚預齒贡缢颔。 （图2　19主机的TCP连接信息） 选择数据包视图查看19传输数据的原始解码信息，如图3。从图3可知，这些数据包的大小都是66字节，协议都是CIFS，源地址都是19，而目标地址则随机产生，目标端口都是445，且数据包的TCP标记位都将同步位置1，这说明19这台机器正在主动对网络中主机的TCP 445端口进行扫描攻击，原因可能是19主机感染病毒程序，或者是人为使用扫描软件进行攻击。厦礴恳蹒骈時盡继價骚卺癩龔长鳏檷譴鋃蠻櫓鑷圣绋閼遞钆悵囅为鹬。 （图3　19主机的数据包解码信息） 找到问题的根源后，正准备对19主机进行隔离，这时因其它事情中断分析工作约10分钟左右。茕桢广鳓鯡选块网羈泪镀齐鈞摟鳎饗则怿唤倀缀倉長闱踐識着純榮詠。 继续工作，隔离19主机的同时再次将启动科来网络分析系统5.0捕获分析网络的数据通讯，约2.5分钟后停止捕获并分析捕获到的数据包。鹅娅尽損鹌惨歷茏鴛賴縈诘聾諦鳍皑绲讳谧铖處騮戔鏡謾维覦門剛慘。 分析捕获到的数据包，网络中又出现了3台与19相似情况的主机，且这些主机发起的同步连接数都大大超过19，图4所示的即是其中一台主机在约2.5分钟内的发起的连接数，其中同步连接达到了6431个。籟丛妈羥为贍偾蛏练淨槠挞