2网络故障分析.ppt
网络故障分析网络故障分析1、故障的成因病毒攻击操作系统设置不当网络设备1、识别故障现象 在排故障之前,必须确切地知道网络上到底出了什么毛病,是不能共享资源,还是找不到另一台电脑,等等。知道出了什么问题并能够及时识别,是成功排除故障最重要的步骤。为了与故障现象进行对比,必须知道系统在正常情况下是怎样工作的,反之,你是不好对问题和故障进行定位的。识别故障现象时,应该向操作者询问以下几个问题:(1)当被记录的故障现象发生时,正在运行什么进程(即操作者正在对电脑进行什么操作)。(2)这个进程以前运行过吗?(3)以前这个进程的运行是否成功?(4)这个进程最后一次成功运行是什么时候?(5)从那时起,哪些发生了改变?带着这些疑问来了解问题,才能对症下药排除故障。2、对故障现象进行详细描述当处理由操作员报告的问题时,对故障现象的详细描述显得尤为重要。如果仅凭他们的一面之词,有时还很难下结论,这时就需要管理员亲自操作一下刚才出错的程序,并注意出错信息。例如,在使用Web浏览器进行浏览时,无论键入哪个网站都返回该页无法显示之类的信息。使用ping命令时,无论ping哪个IP地址都显示超时连接信息等。诸如此类的出错消息会为缩小问题范围提供许多有价值的信息。对此在排除故障前,可以按以下步骤执行:(1)收集有关故障现象的信息;(2)对问题和故障现象进行详细描述;(3)注意细节;(4)把所有的问题都记下来;(5)不要匆忙下结论。3、列举可能导致错误的原因应当考虑,导致无法查看信息的原因可能有哪些,如网卡硬件故障、网络连接故障、网络设备(如集线器、交换机)故障、TCP/IP协议设置不当等等。注意:不要着急下结论,可以根据出错的可能性把这些原因按优先级别进行排序,一个个先后排除。4、缩小搜索范围对所有列出的可能导致错误的原因逐一进行测试,而且不要根据一次测试,就断定某一区域的网络是运行正常或是不正常。另外,也不要在自己认为已经确定了的第一个错误上停下来,应直到测试完为止。除了测试之外,管理员还要注意:千万不要忘记去看一看网卡、Hub、Modem、路由器面板上的LED指示灯。通常情况下,绿灯表示连接正常(Modem需要几个绿灯和红灯都要亮),红灯表示连接故障,不亮表示无连接或线路不通。根据数据流量的大小,指示灯会时快时慢的闪烁。5、隔离错误经过前期工作后,基本上知道了故障的部位,对于电脑的错误,你可以开始检查该电脑网卡是否安装好、TCP/IP协议是否安装并设置正确、Web浏览器的连接设置是否得当等一切与已知故障现象有关的内容。然后就是排除故障了。6、故障分析处理完问题后,还必须搞清楚故障是如何发生的,是什么原因导致了故障的发生,以后如何避免类似故障的发生,拟定相应的对策,采取必要的措施,制定严格的规章制度。连通性故障1、故障表现连通性故障通常表现为以下几种情况:电脑无法登录到服务器;电脑无法通过局域网接入Internet;电脑在网上邻居中只能看到自己,而看不到其他电脑,从而无法使用其他电脑上的共享资源和共享打印机电脑无法在网络内实现访问其他电脑上的资源;网络中的部分电脑运行速度异常的缓慢。连通性故障2、故障原因以下原因可能导致连通性故障:A 网卡未安装,或未安装正确,或与其他设备有冲突;B 网卡硬件故障;C 网络协议未安装,或设置不正确;D 网线、跳线或信息插座故障;E Hub电源未打开,Hub硬件故障,或Hub端口硬件故障;协议故障1、协议故障的表现协议故障通常表现为以下几种情况:A 电脑无法登录到服务器。B 电脑在网上邻居中既看不到自己,也无法在网络中访问其他电脑。C 电脑在网上邻居中能看到自己和其他成员,但无法访问其他电脑。D 电脑无法通过局域网接入Internet。协议故障2、故障原因分析A 协议未安装:实现局域网通信,需安装NetBEUI协议。B 协议配置不正确:TCP/IP协议涉及到的基本参数有四个,包括IP地址、子网掩码、DNS、网关,任何一个设置错误,都会导致故障发生。七、网络问题NATRoute代理防火墙INTERNET交换机计算机计算机计算机单机不能联网2、解决思路首先判断问题出现在什么地方具体步骤:开始运行 输入CMD进入dos窗口第一步:PING 127.0.0.1 (此方法用来判断网络协议是否出问题)第二步:ping 本机ip (此方法用来判断网卡是否有问题)第三步:ping 其它计算机ip (此方法用来判断连接到本机的网线是否有问题)第四步:ping 网关ip (用来判断上网服务器内网卡是否有问题)第五步:ping 外网ip(用来判断上网服务器是否有问题如果以上步骤测试都通过的话,那么问题就出现在DNS服务器上(前提是浏览器设置没有问题)所有计算机不能联网因为所有的计算机都不能上网,问题很可能出现在交换机和网关上,因此就没有必要怀疑自己的计算机、网卡、网线是否有问题。特别故障广播风暴ARP攻击 广播风暴形成的原因广播风暴形成的原因广播风暴形成的原因广播风暴形成的原因 处于同一个网络的所有设备,位于同一个广播域。也就是说,所有的广处于同一个网络的所有设备,位于同一个广播域。也就是说,所有的广播信息会播发到网络的每一个端口,即使交换机、网桥也不能阻止广播播信息会播发到网络的每一个端口,即使交换机、网桥也不能阻止广播信息的传播。因此同一时间只能有一个广播信息在网络中传送。信息的传播。因此同一时间只能有一个广播信息在网络中传送。所有设备都将在网络中定时播发广播包,以告知其它设备自己的存在。所有设备都将在网络中定时播发广播包,以告知其它设备自己的存在。还有许多其他功能需要使用广播,如设备开机、消息播送、视频广播等。还有许多其他功能需要使用广播,如设备开机、消息播送、视频广播等。当网络上的设备越来越多,广播所占用的时间也会越来越多,多到一定当网络上的设备越来越多,广播所占用的时间也会越来越多,多到一定程度时,就会对网络上的正常信息传递产生影响,轻则造成传送信息延程度时,就会对网络上的正常信息传递产生影响,轻则造成传送信息延时,重则造成网络设备从网络上断开,甚至造成整个网络的堵塞、瘫痪,时,重则造成网络设备从网络上断开,甚至造成整个网络的堵塞、瘫痪,这就是广播风暴。这就是广播风暴。当设备故障或网络中存在环路的时候,也会引起广播风暴当设备故障或网络中存在环路的时候,也会引起广播风暴 广播风暴形成范围广播风暴形成范围广播风暴形成范围广播风暴形成范围 网络上的设备数量与广播风暴的产生密切相关。据统计资料表明,网络上的设备网络上的设备数量与广播风暴的产生密切相关。据统计资料表明,网络上的设备数量在数量在150200150200台时,网络运行正常,且可以达到很高的利用率;当设备数量大于台时,网络运行正常,且可以达到很高的利用率;当设备数量大于400400台后,网络效率将急速下降,容易形成广播风暴。台后,网络效率将急速下降,容易形成广播风暴。广播风暴检测方法广播风暴检测方法广播风暴检测方法广播风暴检测方法 我们可以登陆到交换机我们可以登陆到交换机,通过观察端口上广播包数及与其他信息包的比率来确定广通过观察端口上广播包数及与其他信息包的比率来确定广播信息是否已对网络的通讯构成危害播信息是否已对网络的通讯构成危害 也可以通过观查交换机所有端口信息灯也可以通过观查交换机所有端口信息灯(收发收发)是否长亮不息是否长亮不息 广播风暴解决方案广播风暴解决方案广播风暴解决方案广播风暴解决方案 在交换机上启用在交换机上启用STP(STP(生成树协议生成树协议)抑制自环,来防止广播风暴扩展抑制自环,来防止广播风暴扩展 对交换机每个端口进行广播包数量限制对交换机每个端口进行广播包数量限制 登陆到交换机上登陆到交换机上,逐个关闭交换机上用户所在端口逐个关闭交换机上用户所在端口,缩小影响范围缩小影响范围,查出产查出产生广播风暴的端口后,将端口关闭即可生广播风暴的端口后,将端口关闭即可 直接通过拔插用户交换机上的跳线来判断出风暴产生端口,将端口跳线直接通过拔插用户交换机上的跳线来判断出风暴产生端口,将端口跳线拔掉即可拔掉即可ARP攻击点击开始运行里输入点击开始运行里输入CMDCMD回车,重复操作打开两个回车,重复操作打开两个DOSDOS窗口窗口,并并按下图排列。一个窗口执行按下图排列。一个窗口执行ARP a ARP a 做好记录工作做好记录工作,另一个窗口另一个窗口ping ping 网关地址网关地址ARP攻击故障排除操作实例1.arparp d d 网关地址网关地址 删除正在使用的网关删除正在使用的网关(需需要执行多次要执行多次)2.如果是受如果是受ARPARP攻击的话,这时应该是可以攻击的话,这时应该是可以ping ping 通网关或远程网关的通网关或远程网关的ARP攻击故障排除操作实例1.立即输入立即输入arparp a a命令获取正确的本地网关命令获取正确的本地网关MACMAC地址地址ARP攻击故障排除操作实例1.1.arparp s s 网关地址网关地址 正确的网关正确的网关MACMAC地址地址 2.2.静态绑定网关静态绑定网关MACMAC地址,即可防止受地址,即可防止受arparp攻击攻击3.3.将此命令做成将此命令做成.bat.bat脚本脚本,用户如再次遇到相同情况用户如再次遇到相同情况,可双击使用可双击使用为用户制作防ARP攻击脚本1.1.按上面实例所获取正确的网关按上面实例所获取正确的网关MACMAC地址为例地址为例2.2.打开记事本打开记事本,输入输入arparp s 192.168.44.1 00-e0-fc-4e-a9-4c s 192.168.44.1 00-e0-fc-4e-a9-4c3.3.点击文件保存点击文件保存,选择桌面在文件名处输入选择桌面在文件名处输入:防防ARPARP攻击攻击.bat(.batbat(.bat一定要完全一定要完全输入输入)4.4.存盘完毕后存盘完毕后,桌面多出一个图标桌面多出一个图标 ,以后每次双击此图标即可防止以后每次双击此图标即可防止ARPARP攻击攻击