《案例分析-某中学网络故障诊断451.docx》由会员分享,可在线阅读,更多相关《案例分析-某中学网络故障诊断451.docx(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Evaluation Warning: The document was created with Spire.Doc for .NET.案例分析 某中学网络故障诊断一、 故障描述故障地点:江苏省某中中学校园园网故障现象:严重网络阻阻塞,客客户机之之间相互piing时时严重丢包包,校园网网用户访访问互联联网的速速度非常常慢,甚甚至不能能访问。故障详细描描述:整个校园网网突然出现现网络通通讯中断断,内部部用户均均不能正正常访问问互联网网,在机机房中进进行piing包包测试时时发现,中心机房客户机对中心交换机管理地址的ping包响应时间较长且出现随机性丢包,主机房客户机对二级交换机通讯的通讯丢包情
2、况更加严重。二、 故障详细分分析1. 前期分析初步判断引引起问题题的原因因可能是是:l 交换机ARRP表更更新问题题l 广播或路由由环路故故障l 病毒攻击需要进一步步获取的的信息:l ARP信息息l 交换机负载载l 网络中传输输的原始始数据包包2. 故障具体分分析排查查开始实际具具体排查查工作:1. 在主机房的的客户机机和以下下的客户户机上分分别使用用“arpp a”命令查查看ARRP缓存存信息,结结果正常常;2. 登录中心交交换机查查看各端端口的流流量,由由于交换换机反应应速度较较慢,操操作超时时,无法法获得负负载的实实际流量量;3. 使用科来网网络分析析系统55.0捕捕获并分分析网络络中传
3、输输的数据据包,具具体过程程如下。在中心交换换机上做做好端口口镜像配配置操作作,并将将分析用笔笔记本接接到此端口口上,启启动科来来网络分分析系统统5.00捕获分分析网络络的数据据通讯,约2.5分钟钟后停止止捕获并并分析捕捕获到的的数据包包。XX中学校校园网的的主机约约为10000台台,一般般情况下下,同时时在线的的有6000台左左右。在在停止捕捕获后,我我们在科科来网络络分析系系统5.0主界界面左边边的节点点浏览器器中发现现,内部部网络(PPrivvatee-Usse NNetwworkks)同同时在线线的IPP主机达达到了665155台,如图11,这表示示网络存存在许多多伪造的的IP主主机,
4、网网络中可可能存在在伪造IIP地址址攻击或自自动扫描描攻击。选择连接视视图,发发现在约2.55分钟的的时间内内网络中中共发起起了30027个个连接,且且状态大多都是是客户端端请求同同步,即即三次握握手的第第一步,由TCP工作原理可知,TCP工作时首先通过三次握手发起连接,如果请求端向不存在的目的端发起了同步请求,由于不会收到目的端主机的确认回复,其状态将会一直处于请求同步直到超时断开,据此,我们现在更加断定校园网中存在自动扫描攻击。详细查看图图1的连连接信息息,发现现这些连连接大多多都是由由1922.1668.55.1119主机机发起,即即连接的的源地址址是1992.1168.5.1119。选
5、中源地址是192.168.5.119的任意一个连接,单击鼠标右键,在弹出的右键菜单中选择“定位浏览器节点端点1 IP”,这时节点浏览器将自动定位到192.168.5.119主机。(图1 网网络中的的TCPP连接信信息)选择图表视视图,并并选中TTCP连连接子视视图项,查查看1992.1168.5.1119主主机的TTCP连连接情况况,如图图2所示示。查看看图2可可知,1992.1168.5.1119这这台主机机在约2.55分钟的的时间内内发起了了28000个连连接,且且其中有有27993个连连接都是是初始化化连接,即即同步连连接,这这表示1192.1688.5.1199主机肯肯定存在在自动扫扫
6、描攻击击。(图21192.1688.2.1199主机的的TCPP连接信信息)选择数据包包视图查查看1992.1168.5.1119传传输数据据的原始始解码信信息,如如图3。从从图3可可知,这这些数据据包的大大小都是是66字字节,协协议都是是CIFFS,源源地址都都是1992.1168.5.1119,而而目标地地址则随随机产生生,目标标端口都都是4445,且且数据包包的TCCP标记记位都将将同步位位置1,这这说明1192.1688.5.1199这台机机器正在在主动对对网络中中主机的的TCPP 4445端口口进行扫扫描攻击击,原因因可能是是1922.1668.55.1119主机机感染病病毒程序序,
7、或者者是人为使用用扫描软软件进行行攻击。(图31192.1688.2.1199主机的的数据包包解码信信息)找到问题的的根源后后,正准准备对1192.1688.5.1199主机进进行隔离离,这时时因其它它事情中中断分析析工作约约10分钟钟左右。继续工作,隔隔离1992.1168.5.1119主主机的同同时再次次将启动动科来网网络分析析系统55.0捕捕获分析析网络的的数据通通讯,约约2.55分钟后后停止捕捕获并分分析捕获获到的数数据包。分析捕获到到的数据据包,网网络中又又出现了了3台与与1922.1668.55.1119相似似情况的的主机,且且这些主主机发起起的同步步连接数数都大大大超过1192.
8、1688.5.1199,图44所示的的即是其其中一台台主机在在约2.5分钟钟内的发发起的连连接数,其中同步连接达到了6431个。通过这个情情况,我我们可以以肯定1192.1688.5.1199和新发发现的三三台主机机都是感感染了病病毒,且且该病毒毒会主动动扫描网网络中其其它主机机是否打打开TCCP 4445端端口,如如果某主主机打开开该端口口,就攻击击并感染染这台主主机。如此循循环,即即引发了了上述的的网络故故障。(图41192.1688.4.34主主机的TTCP连连接信息息)网管人员立立即对新新发现感感染病毒毒的3台台主机进进行隔离离,piing测测试响应应时间立立刻变为为1mss,网络络通
9、讯立立刻恢复复正常。在分析中,我我们还发发现,1192.1688.1001.557主机机占用的的流量较较大,其其通讯数数据包的的源端和和目的端端都使用用UDPP 60020端端口,且且与1992.1168.1011.577通信的的地址2227.1.22.7是是一个组组播IPP地址,签签于此,我们推测192.168.101.57可能在使用在线视频点播之类的应用,并因此对网络资源造成了一定程度的耗费,其通讯数据包如图5所示。对于这种情况,网管人员也应对其进行检查,确定其合法性,以避免网络带宽被一些非关键业务所耗费。(图51192.1688.1001.557主机机的通讯数据据包信息息)在第一次和和第二次次捕获之之间,相相隔仅10分分钟的时时间,网网络中就就被新感感染主机机三台。由此我们可以想象,如果不使用网络检测分析软件捕获分析网络中传输的数据包,仅通过查看交换机的端口流量,或者使用单纯的流量软件,将很难找到问题的根源,这样网络中感染的主机会越来越多,最终将导致整个网络的全部瘫痪。以上便是笔笔者使用用科来网网络分析析系统55.0诊诊断该校校园网故故障的全全过程,在在网络出出现速度度慢、时时断时续续、不能能访问时时,网管管人员均均可使用用这种方方法对故故障进行行诊断排查查。成都科来软软件有限限公司2006年年6月