《案例分析-许昌某网吧网络故障诊断23917.docx》由会员分享,可在线阅读,更多相关《案例分析-许昌某网吧网络故障诊断23917.docx(7页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、案例分析 许昌某网吧网络故障诊断故障描述故障地点:河南省许昌昌某网吧网络环境:网吧大概有有200台电电脑,采用用双WANN出口(电电信和网通通)访问互互联网,网网络结构较较为简单,外网 路由器 主交换机 二层交换机 客户端。故障详细描描述:同时接上两两个外网出出口时,整整个网络访访问通讯出出现异常,网网络速度异异常缓慢,很很多用户甚至不能上上网,在客客户端进行行pingg包测试时时发现,本本地客户端端严重丢包包,断开网通的的外网出口口,网络却却又恢复正正常,piing包测测试也无异常。故障分析由于在断开开网通的线线路后,网网络访问正正常,初步步怀疑是网网通线路问问题,于是是用笔记本本单独接网网
2、通线路测测试,一切切正常,所所以首先排除了了网通线路路的问题。在排除线路问题后,我们将问题重点放在了内网主机检查上。由于网络速度缓慢并且出现断网的情况,所以怀疑网络中有主机感染ARP或其他蠕虫病毒攻击导致网络瘫痪,于是决定用科来网络分析系统抓包分析,在中心交换机上做好端口镜像,在笔记本上安装科来网络分析系统,将笔记本接到中心交换机的端口上,启动科来网络分析系统开始捕获数据,约6分钟后停止捕获并分析捕获到的数据包。我们首先了了解网络的的整体运行行状态,在在概要统计计视图中可可以看到:网络的总总共流量为为1.8228GB,而而利用率则则达到了近近80,这这是网络缓缓慢的一个个重要指示示参数。我我们
3、再看TTCP的参参数信息,此此处,TCCP的同步步数据包与与结束连接接数据包分分别是177796和和99633个,由TCP的工作原理理我们知道道,TCP在工作时首首先会通过三次次握手建立立连接,数据据传输完成成后,必须须关闭连接接,在建立立握手的时时候,会产产生2个同同步数据包包,而关闭闭连接的时时候,也会会产生2个个同步数据据包,所以以,理论情情况下,11个TCPP连接的同同步数据包包与结束连连接数据包包应该大致致相等,如如果二者的的数据包相相差较大,说说明当前的的网络传输输不正常。如图1。图1选择端点视视图,我们们发现,IP地址为为192.168.1.2这这台主机的的网络连接接数较多,并并
4、且流量也也比较大,所所以,我们们定位这个个IP,单独独对其分析析。在节点浏览览器中选择择192.168.1.2,打开矩阵阵连接视图图,我们看看到,该主机的通通讯主机数数达到了11000个个,并且很很大一部分分为单向流流量,如图图2。图2打开图表视视图,我们们查看该主主机的TCCP连接情情况。从中中可以看到到,该主机机的TCPP同步数据据包、结束束连接数据据包以及复复位数据包包的比例,如如图3。图3打开会话视视图,查看看该主机的的TCP会话话情况,如如图4。图4在该主机的的TCP通讯讯中,我们们可以看到到:该主机机尝试通过过不同的端端口试图与与其他IPP建立连接接,发送的的数据包大大小均为224
5、6B,但但是,并没没有收到目目标主机的的任何回应应数据包,这这说明,其其发送的同同步数据包包被目标主主机复位终终止了连接接或目标主主机均为异异常的IPP地址,是是该主机感感染病毒后后随机向其其他主机发发送同步连连接数据包包以试图感感染其他主主机。所以以,综合以以上的判断断,我们确确定,1992.1668.1.2这个主主机感染蠕蠕虫病毒,正正在发送大大量的数据据包进行扫扫描以试图图感染其他他主机。通过类似的的方法,我我们发现:192.168.1.944这个IPP也存在同同样的行为为,不过,扫扫描方法由由TCP扫扫描变为了了UDP扫扫描,目标标主机也基基本是内网网IP,并并且,其发发包的频率率也非
6、常快快,1秒左左右的时间间就会发起起10个同同样的数据据包,以试试图攻击或或感染其他他主机,对对网络带宽宽的耗费是是非常严重重的。如图图5和图66。图5图6其次,通过过UDP会会话,我们们还发现,IP地址为192.168.1.13的这个主机也存在异常情况,该主机基本全是接收的数据包并没有发送数据包,外网IP不断尝试连接该主机的3325端口,这就说明,该主机感染了木马病毒或正在被攻击。如图7。图7综合以上分分析,我们们对1922.1688.1.22、1922.1688.1.994以及1192.1168.11.13进进行了断网网隔离,再再同时接上上电信以及及网通双出出口,网络络未发现异异常;同时,对对这3台主主机进行检检查,发现现192.168.1.2与与192.168.1.944感染病毒毒,而1992.1668.1.13则被被植入木马马,从而导致网网络几近瘫痪。至此此,通过科科来网络分分析系统对对网络通讯讯的分析,网网络故障全全面排除。