案例分析 - 某电业局网络故障诊断23894.docx

案例分析 某电业局网络故障诊断一、 故障描述故障地点：某电业局故障现象：网络严重阻阻塞，内部主机机上网甚至至内部主机机间的通讯讯均时断时时续。故障详细描描述：网络突然出出现通讯中中断，某些些VLANN不能访问问互联网，且与其它VLAN的访问也会出现中断，在机房中进行ping包测试，发现中心交换机到该VLAN内主机的ping包响应时间较长，且出现间歇性丢包，VLAN与VLAN间的丢包情况则更加严重。二、 故障详细分分析1. 前期分析初步判断引引起问题的的原因可能能是：l 交换机ARRP表更新新问题l 广播或路由由环路故障障l 人为或病毒毒攻击需要进一步步获取的信息息：l 网络拓扑结结构及正常常工作时的的情况l 交换机ARRP表信息及交换机负负载情况l 网络中传输输的原始数数据包2. 具体分析首先，我们们从网络管管理员那儿儿，得知了网络络中主机共共450台台左右，同同时得到了了网络的简简单拓扑图图，如图11所示。（图1网网络原始拓拓扑简图）从图1可以以知道，网网络中划分分了6个VVLAN，分别是10.230.201.0/24、10.230.202.0/24、10.230.203.0/24、10.230.204.0/24、10.230.205.0/24、10.230.206.0/24、，其中201205这5个VLAN分别用于一个部门，而206为服务器专用网段。各VLAN同时连接上中心交换机（Passport 8010），中心交换机再连接到防火墙，由防火墙连接到Internet以及省单位。大致了解了了网络拓扑扑后，我们们以超级终终端方式登登录中心交交换机，发发现交换机机的负载较较大，立即即清除交换机机ARP表表并重启，但故障仍然存存在，于是是我们决定定对网络进进行抓包分分析。在中心交换换机（Paasspoort 88010）上上配置好端端口镜像（具具体配置信信息，略），并将将安装科来来网络分析析系统的笔笔记本接到到中心交换换机的镜像像口上，安装好后后网络的拓拓扑简图如如图2所示示。（图2安安装科来网网络分析系系统后的网网络拓扑简简图）由于科来网网络分析系系统可以跨跨VLANN对数据进进行捕获分分析，所以以在中心交交换机上接接入安装科科来网络分分析系统的的笔记本后后，网络的的拓扑结构构并未发生生任何改变变。打开笔记本本上的科来来网络分析析系统，捕捕获数据包包约1分钟钟（捕获停停止后发现现确切时间是是53秒）后停止捕获，并对捕获到的数据通讯进行分析。将节点浏览览器定位到到物理端点点下的本地地网段，我们发现现MAC地地址为000:00:E8:440:444:99的的主机，下下面共有440个IPP地址，如如图3。（图3定定位本地网网段的端点点视图）我们知道，在在正常情况况下，一个个MAC地地址下面出出现多个IIP地址，只只可能有以以下几种情情况之一：网关、代代理服务器器、手动绑绑定多个IIP地址。咨咨询网络管管理员得知知，该网段段内的机器器均只绑定定了一个MMAC地址址，且没有有代理服务务器，同时时该MACC也不是网网关MACC地址，由由此，我们们怀疑，该该主机可能能存在欺骗骗攻击。右键单击图图3中的00:00:EE8:400:44:99节点点，在弹出出的菜单中中选择“定位浏览览器节点(L)”命令，将将节点浏览览器中定位位到00:00:EE8:400:44:99。查查看协议视视图，发现现该节点主主动发起了了226113个ARRP回复数据包，而而ARP请请求数据包包只有2个个，如图4所示。（图4000:000:E8:40:444:999主机通讯讯的协议分分布）从图4下面面的数据包包可以知道道，00:00:EE8:400:44:99主动动向网络中中的其它主主机发出AARP回复复数据包，内内容是告诉诉对方主机机，自己是是某个IPP的主机，而而这个IPP在不断地地变化。由由此可以断断定，MAAC地址为为00:000:E88:40:44:999的机器器在进行AARP欺骗骗。同时，诊断断视图的AARP诊断断事件区时时，也给出出了相应的的提示信息息，如图55。（图5000:000:E8:40:444:999的ARPP诊断信息息）经过上面的的分析，我我们确定000:000:E8:40:444:999存在ARRP欺骗攻攻击，网管管人员立刻刻开始查找找该主机，由于他们以前做了IP与MAC地址的统计表，所以很轻松地就找到了该机器。在二层交换机上拨掉该主机的网线，网络很快恢复正常，VLAN间的内部访问和外部访问（包括Internet和省网单位）速度均恢复正常。另外，从图图3的显示示可知，000:02:B0:BBC:688:D2、00:00B:DBB:4B:46:881、00:111:255:8D:7D:CC1 三台台机器占用用的流量较较大，通过过查看这几几台机器的的具体流量量后，发现现00:002:B00:BC:68:DD2和00:00B:DBB:4B:46:881在互相相进行数据据拷贝，而而00:111:255:8D:7D:CC1对应的的IP地址址是10.230.204.1，它是是10.2230.2204.00/24网网段的网关关，占用较较量较大属于正常情况。由此基本本断定网络络时断时续续的根源即即前面找出出的00:00:EE8:400:44:99主机机。找出故障点点，并帮助助网络恢复复正常后，我们因为其它的事情离开了现场，并未去排查00:00:E8:40:44:99的具体情况。下午接到电电业局网管管人员的电电话，告知知在找到MMAC地址址为00:00:EE8:400:44:99的主主机时，该用户仅在在使用WOORD进行行文档编辑辑，并未人人为的进行行攻击，然然后安装防防病毒软件件并对该主主机进行查杀，查出出病毒若干，病毒查杀杀后，再次将该该主机接入入网络，网网络通讯仍仍然正常。由此得出引发网络故障的原因是MAC地址为00:00:E8:40:44:99的主机感染蠕虫病毒，该病毒自动进行ARP欺骗攻击，导致网络访问的时断时续。三、 总结中大型网络络中，网络络故障错综综复杂，不不借助专业业网络分析析工具的情情况下，很很难对故障障进行排查查，如本例例中，如果果不对数据据包进行捕捕获，即使使在交换机机上查看流流量，由于于00:000:E88:40:44:999的流量量并不特别别大，所以以我们也很很难找到故障点。同时，由于于此次捕获获数据包的的时间较短短，仅仅只只有53秒秒，所以网网络中可能能还存在一一些未被检检测出问题题的主机（这这些主机当当前未启动动，不会收收发相应数数据包，故故无法查找找）。所以以，对于企企业的网络络运行，需需要网络管管理人员使使用专用的的网络分析析工具，对对网络进行长长期有效的的监测和分析，才才可以最大大程度地排除可能的的网络故障障和网络安安全威胁。成都科来软软件有限公公司