案例分析中学网络故障诊断.docx

案例分析 某中学网络故障诊断 一、 故 障描述 故障地点 ： 江苏省某中学校园网 故障现象 ： 严重网络阻塞，客户机之间相互 ping 时严重丢包，校园网用户访问互联网的速度非常慢，甚至不能访问。 故障详细描述 ： 整个校园网突然出现网络通讯中断，内部用户均不能正常访问互联网，在机房中进行 ping 包测试时发现，中 心机房客户机对中心交换机管理地址的 ping 包响应时间较长且出现随机性丢包，主机房客户机对二级交换机 通讯的通讯丢包情况更加严重。 二、 故 障详细分析 前期分析 初步判断引起问题的原因可能是： 交换机ARP表更新问题 广播或路由环路故障 病毒攻击 需要进一步获取的信息： ARP信息 交换机负载 网络中传输的原始数据包 故障具体分析排查 开始实际具体排查工作： 在主机房的客户机和以下的客户机上分别使用“ arp - a ”命令查看ARP缓存信息，结果正常； 登录中心交换机查看各端口的流量，由于交换机反应速度较慢，操作超时，无法获得负载的实际流量； 使用科来网络分析系统 5.0 捕获并分析网络中传输的数据包，具体过程如下。 在中心交换机上做好端口镜像配置操作， 并将分析用笔记本接到此端口上， 启动科来网络分析系统 5.0 捕获分 析网络的数据通讯，约 2.5 分钟后停止捕获并分析捕获到的数据包。 XX中学校园网的主机约为 1000台，一般情况下，同时在线的有 600台左右。在停止捕获后，我们在科来网络 分析系统 5.0 主界面左边的节点浏览器中发现，内部网络( Private-Use Networks )同时在线的 IP 主机达到 了 6515 台，如图 1 ，这表示网络存在许多伪造的 IP 主机，网络中可能存在伪造 IP 地址攻击或自动扫描攻击。 选择连接视图，发现在约 2.5 分钟的时间内网络中共发起了 3027 个连接，且状态大多都是客户端请求同步， 即三次握手的第一步，由 TCP工作原理可知，TCP工作时首先通过三次握手发起连接，如果请求端向不存在的 目的端发起了同步请求，由于不会收到目的端主机的确认回复，其状态将会一直处于请求同步直到超时断开， 据此，我们现在更加断定校园网中存在自动扫描攻击。 “定位浏览器节点 端点 1 IP ” （图1网络中的TCP连接信息） 选择图表视图， 2所示。查看图 2 可知约 2.5 分钟的时间内发起了 2800个连接，且其中有 2793个连接都是初 始化连接，即同步连接主机肯定存在自动扫描攻击。 如图 3。从图 3 可知，是人为使用扫描软件进行攻击。 找到问题的根源后，正准备对主机进行隔离，这时因其它事情中断分析工作约 10 分钟左右。 主机的同时再次将启动科来网络分析系统 5.0 捕获分析网络的数据通讯， 约 2.5 分钟后停止捕获并分析捕获到 的数据包。 分析捕获到的数据包，网络中又出现了 3 台与似情况的主机，且这些主机发起的同步连接数都大大超过，图 4 所示的即是其中一台主机在约 2.5 分钟内的发起的连接数，其中同步连接达到了 6431 个。 某主机打开该端口，就攻击并感染这台主机。如此循环，即引发了上述的网络故障。 网管人员立即对新发现感染病毒的 3台主机进行隔离，ping测试响应时间立刻变为 1ms网络通讯立刻恢复正 常。 主机占用的流量较大，其通讯数据包的源端和目的端都使用 UDP6020 端口，且 IP 地址，签于此，我们推测可 能在使用在线视频点播之类的应用， 并因此对网络资源造成了一定程度的耗费， 其通讯数据包如图 5 所示。 对 于这种情况，网管人员也应对其进行检查，确定其合法性，以避免网络带宽被一些非关键业务所耗费。 主机的通讯数据包信息） 在第一次和第二次捕获之间，相隔仅 10 分钟的时间，网络中就被新感染主机三台。由此我们可以想象，如果 不使用网络检测分析软件捕获分析网络中传输的数据包， 仅通过查看交换机的端口流量， 或者使用单纯的流量 软件，将很难找到问题的根源，这样网络中感染的主机会越来越多，最终将导致整个网络的全部瘫痪。 以上便是笔者使用科来网络分析系统 5.0 诊断该校园网故障的全过程， 在网络出现速度慢、 时断时续、 不能访 问时，网管人员均可使用这种方法对故障进行诊断排查。 成都科来软件有限公司 2006 年 6 月