案例分析－某中学网络故障诊断451.docx

Evaluation Warning: The document was created with Spire.Doc for .NET.案例分析 某中学网络故障诊断一、 故障描述故障地点：江苏省某中中学校园园网故障现象：严重网络阻阻塞，客客户机之之间相互piing时时严重丢包包，校园网网用户访访问互联联网的速速度非常常慢，甚甚至不能能访问。故障详细描描述：整个校园网网突然出现现网络通通讯中断断，内部部用户均均不能正正常访问问互联网网，在机机房中进进行piing包包测试时时发现，中心机房客户机对中心交换机管理地址的ping包响应时间较长且出现随机性丢包，主机房客户机对二级交换机通讯的通讯丢包情况更加严重。二、 故障详细分分析1. 前期分析初步判断引引起问题题的原因因可能是是：l 交换机ARRP表更更新问题题l 广播或路由由环路故故障l 病毒攻击需要进一步步获取的的信息：l ARP信息息l 交换机负载载l 网络中传输输的原始始数据包包2. 故障具体分分析排查查开始实际具具体排查查工作：1. 在主机房的的客户机机和以下下的客户户机上分分别使用用“arpp a”命令查查看ARRP缓存存信息，结结果正常常；2. 登录中心交交换机查查看各端端口的流流量，由由于交换换机反应应速度较较慢，操操作超时时，无法法获得负负载的实实际流量量；3. 使用科来网网络分析析系统55.0捕捕获并分分析网络络中传输输的数据据包，具具体过程程如下。在中心交换换机上做做好端口口镜像配配置操作作，并将将分析用笔笔记本接接到此端口口上，启启动科来来网络分分析系统统5.00捕获分分析网络络的数据据通讯，约2.5分钟钟后停止止捕获并并分析捕捕获到的的数据包包。XX中学校校园网的的主机约约为10000台台，一般般情况下下，同时时在线的的有6000台左左右。在在停止捕捕获后，我我们在科科来网络络分析系系统5.0主界界面左边边的节点点浏览器器中发现现，内部部网络（PPrivvatee-Usse NNetwworkks）同同时在线线的IPP主机达达到了665155台，如图11，这表示示网络存存在许多多伪造的的IP主主机，网网络中可可能存在在伪造IIP地址址攻击或自自动扫描描攻击。选择连接视视图，发发现在约2.55分钟的的时间内内网络中中共发起起了30027个个连接，且且状态大多都是是客户端端请求同同步，即即三次握握手的第第一步，由TCP工作原理可知，TCP工作时首先通过三次握手发起连接，如果请求端向不存在的目的端发起了同步请求，由于不会收到目的端主机的确认回复，其状态将会一直处于请求同步直到超时断开，据此，我们现在更加断定校园网中存在自动扫描攻击。详细查看图图1的连连接信息息，发现现这些连连接大多多都是由由1922.1668.55.1119主机机发起，即即连接的的源地址址是1992.1168.5.1119。选中源地址是192.168.5.119的任意一个连接，单击鼠标右键，在弹出的右键菜单中选择“定位浏览器节点>>端点1 IP”，这时节点浏览器将自动定位到192.168.5.119主机。（图1 网网络中的的TCPP连接信信息）选择图表视视图，并并选中TTCP连连接子视视图项，查查看1992.1168.5.1119主主机的TTCP连连接情况况，如图图2所示示。查看看图2可可知，1992.1168.5.1119这这台主机机在约2.55分钟的的时间内内发起了了28000个连连接，且且其中有有27993个连连接都是是初始化化连接，即即同步连连接，这这表示1192.1688.5.1199主机肯肯定存在在自动扫扫描攻击击。（图21192.1688.2.1199主机的的TCPP连接信信息）选择数据包包视图查查看1992.1168.5.1119传传输数据据的原始始解码信信息，如如图3。从从图3可可知，这这些数据据包的大大小都是是66字字节，协协议都是是CIFFS，源源地址都都是1992.1168.5.1119，而而目标地地址则随随机产生生，目标标端口都都是4445，且且数据包包的TCCP标记记位都将将同步位位置1，这这说明1192.1688.5.1199这台机机器正在在主动对对网络中中主机的的TCPP 4445端口口进行扫扫描攻击击，原因因可能是是1922.1668.55.1119主机机感染病病毒程序序，或者者是人为使用用扫描软软件进行行攻击。（图31192.1688.2.1199主机的的数据包包解码信信息）找到问题的的根源后后，正准准备对1192.1688.5.1199主机进进行隔离离，这时时因其它它事情中中断分析析工作约约10分钟钟左右。继续工作，隔隔离1992.1168.5.1119主主机的同同时再次次将启动动科来网网络分析析系统55.0捕捕获分析析网络的的数据通通讯，约约2.55分钟后后停止捕捕获并分分析捕获获到的数数据包。分析捕获到到的数据据包，网网络中又又出现了了3台与与1922.1668.55.1119相似似情况的的主机，且且这些主主机发起起的同步步连接数数都大大大超过1192.1688.5.1199，图44所示的的即是其其中一台台主机在在约2.5分钟钟内的发发起的连连接数，其中同步连接达到了6431个。通过这个情情况，我我们可以以肯定1192.1688.5.1199和新发发现的三三台主机机都是感感染了病病毒，且且该病毒毒会主动动扫描网网络中其其它主机机是否打打开TCCP 4445端端口，如如果某主主机打开开该端口口，就攻击击并感染染这台主主机。如此循循环，即即引发了了上述的的网络故故障。（图41192.1688.4.34主主机的TTCP连连接信息息）网管人员立立即对新新发现感感染病毒毒的3台台主机进进行隔离离，piing测测试响应应时间立立刻变为为1mss，网络络通讯立立刻恢复复正常。在分析中，我我们还发发现，1192.1688.1001.557主机机占用的的流量较较大，其其通讯数数据包的的源端和和目的端端都使用用UDPP 60020端端口，且且与1992.1168.1011.577通信的的地址2227.1.22.7是是一个组组播IPP地址，签签于此，我们推测192.168.101.57可能在使用在线视频点播之类的应用，并因此对网络资源造成了一定程度的耗费，其通讯数据包如图5所示。对于这种情况，网管人员也应对其进行检查，确定其合法性，以避免网络带宽被一些非关键业务所耗费。（图51192.1688.1001.557主机机的通讯数据据包信息息）在第一次和和第二次次捕获之之间，相相隔仅10分分钟的时时间，网网络中就就被新感感染主机机三台。由此我们可以想象，如果不使用网络检测分析软件捕获分析网络中传输的数据包，仅通过查看交换机的端口流量，或者使用单纯的流量软件，将很难找到问题的根源，这样网络中感染的主机会越来越多，最终将导致整个网络的全部瘫痪。以上便是笔笔者使用用科来网网络分析析系统55.0诊诊断该校校园网故故障的全全过程，在在网络出出现速度度慢、时时断时续续、不能能访问时时，网管管人员均均可使用用这种方方法对故故障进行行诊断排查查。成都科来软软件有限限公司2006年年6月