《某电业局网络故障诊断案例分析11335.docx》由会员分享,可在线阅读,更多相关《某电业局网络故障诊断案例分析11335.docx(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Evaluation Warning: The document was created with Spire.Doc for .NET.案例分析 某电业局局网络故障障诊断一、 故障描述故障地点:某电业局故障现象:网络严重阻阻塞,内部主主机上网网甚至内内部主机机间的通通讯均时时断时续续。故障详细描描述:网络突然出出现通讯讯中断,某些VLAN不能访问互联网,且与其它VLAN的访问也会出现中断,在机房中进行ping包测试,发现中心交换机到该VLAN内主机的ping包响应时间较长,且出现间歇性丢包,VLAN与VLAN间的丢包情况则更加严重。二、 故障详细分分析1. 前期分析初步判断引引起问题题的原因
2、因可能是是:l 交换机ARRP表更更新问题题l 广播或路由由环路故故障l 人为或病毒毒攻击需要进一步步获取的的信息:l 网络拓扑结结构及正正常工作作时的情情况l 交换机ARRP表信息及交换机机负载情情况l 网络中传输输的原始始数据包包2. 具体分析首先,我们们从网络络管理员员那儿,得知了网络中主机共450台左右,同时得到了网络的简单拓扑图,如图1所示。(图1网网络原始始拓扑简图)从图1可以以知道,网络中划分了6个VLAN,分别是10.230.201.0/24、10.230.202.0/24、10.230.203.0/24、10.230.204.0/24、10.230.205.0/24、10.2
3、30.206.0/24、,其中201205这5个VLAN分别用于一个部门,而206为服务器专用网段。各VLAN同时连接上中心交换机(Passport 8010),中心交换机再连接到防火墙,由防火墙连接到Internet以及省单位。大致了解了了网络拓拓扑后,我我们以超超级终端端方式登登录中心心交换机机,发现现交换机机的负载载较大,立立即清除除交换机机ARP表并重启启,但故障仍然然存在,于于是我们们决定对对网络进进行抓包包分析。在中心交换换机(Passspoort 80110)上配配置好端端口镜像像(具体体配置信信息,略),并并将安装装科来网网络分析析系统的的笔记本本接到中中心交换换机的镜镜像口上
4、上,安装好好后网络络的拓扑扑简图如如图2所示。(图2安安装科来来网络分分析系统统后的网网络拓扑扑简图)由于科来网网络分析析系统可可以跨VLAAN对数数据进行行捕获分分析,所所以在中中心交换换机上接接入安装装科来网网络分析析系统的的笔记本本后,网网络的拓拓扑结构构并未发发生任何何改变。打开笔记本本上的科科来网络络分析系系统,捕捕获数据据包约1分钟(捕捕获停止止后发现现确切时间间是53秒)后停停止捕获获,并对对捕获到到的数据据通讯进进行分析析。将节点浏览览器定位位到物理理端点下下的本地地网段,我们发现MAC地址为为00:00:E8:40:44:99的的主机,下下面共有有40个IP地址,如如图3。(
5、图3定定位本地地网段的的端点视视图)我们知道,在在正常情情况下,一一个MAC地址下下面出现现多个IP地址,只只可能有有以下几几种情况况之一:网关、代代理服务务器、手手动绑定定多个IP地址。咨咨询网络络管理员员得知,该该网段内内的机器器均只绑绑定了一一个MAC地址,且且没有代代理服务务器,同同时该MAC也不是是网关MAC地址,由由此,我我们怀疑疑,该主主机可能能存在欺欺骗攻击击。右键单击图图3中的000:000:E88:400:444:999节点,在在弹出的的菜单中中选择“定位浏浏览器节节点(L)”命令,将节节点浏览览器中定定位到000:000:EE8:440:444:999。查查看协议议视图,
6、发现该节点主动发起了22613个ARP回复数据包,而ARP请求数据包只有2个,如图4所示。(图4000:000:EE8:440:444:999主机机通讯的的协议分分布)从图4下面面的数据据包可以以知道,00:00:E8:40:44:99主动向网络中的其它主机发出ARP回复数据包,内容是告诉对方主机,自己是某个IP的主机,而这个IP在不断地变化。由此可以断定,MAC地址为00:00:E8:40:44:99的机器在进行ARP欺骗。同时,诊断断视图的的ARP诊断事事件区时时,也给给出了相相应的提提示信息息,如图图5。(图5000:000:EE8:440:444:999的ARP诊断信信息)经过上面的的
7、分析,我我们确定定00:00:E8:40:44:99存存在ARP欺骗攻攻击,网网管人员员立刻开开始查找找该主机机,由于于他们以以前做了IP与MAC地址的的统计表表,所以以很轻松松地就找到到了该机机器。在在二层交交换机上上拨掉该该主机的的网线,网网络很快快恢复正正常,VLAAN间的内内部访问问和外部部访问(包包括Intternnet和省网网单位)速度均均恢复正正常。另外,从图图3的显示示可知,000:002:BB0:BBC:668:DD2、00:0B:DB:4B:46:811、00:11:25:8D:7D:C1 三台机机器占用用的流量量较大,通过查看这几台机器的具体流量后,发现00:02:B0:
8、BC:68:D2和00:0B:DB:4B:46:81在互相进行数据拷贝,而00:11:25:8D:7D:C1对应的IP地址是10.230.204.1,它是10.230.204.0/24网段的网关,占用较量较大属于正常情况。由此基本断定网络时断时续的根源即前面找出的00:00:E8:40:44:99主机。找出故障点点,并帮帮助网络络恢复正正常后,我们因为其它的事情离开了现场,并未去排查00:00:E8:40:44:99的具体情况。下午接到电电业局网网管人员员的电话话,告知知在找到MAC地址为为00:00:E8:40:44:99的的主机时时,该用户仅仅在使用WORRD进行行文档编编辑,并并未人为为
9、的进行行攻击,然然后安装装防病毒毒软件并并对该主主机进行行查杀,查查出病毒毒若干,病毒查查杀后,再次将将该主机机接入网网络,网网络通讯讯仍然正正常。由由此得出出引发网网络故障障的原因因是MAC地址为为00:00:E8:40:44:99的的主机感感染蠕虫虫病毒,该该病毒自自动进行行ARP欺骗攻攻击,导导致网络络访问的的时断时时续。三、 总结中大型网络络中,网网络故障障错综复复杂,不不借助专专业网络络分析工工具的情情况下,很难难对故障障进行排排查,如如本例中中,如果果不对数数据包进进行捕获获,即使使在交换换机上查查看流量量,由于于00:00:E8:40:44:99的的流量并并不特别别大,所所以我们们也很难找找到故障点点。同时,由于于此次捕捕获数据据包的时时间较短短,仅仅仅只有53秒,所所以网络络中可能能还存在在一些未未被检测测出问题题的主机机(这些些主机当当前未启启动,不不会收发发相应数数据包,故故无法查查找)。所以,对于企业的网络运行,需要网络管理人员使用专用的网络分析工具,对网络进行长期有效的监测和分析,才可以最大程度地排除可能的网络故障和网络安全威胁。成都科来软软件有限限公司