資源描述:
《案例分析-許昌某網(wǎng)吧網(wǎng)絡(luò)故障診斷》由會(huì)員上傳分享,免費(fèi)在線閱讀�,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1�、許昌某網(wǎng)吧網(wǎng)絡(luò)故障診斷案例分析-許昌某網(wǎng)吧網(wǎng)絡(luò)故障診斷故障描述故障地點(diǎn):河南省許昌某網(wǎng)吧網(wǎng)絡(luò)環(huán)境:網(wǎng)吧大概有200臺電腦,采用雙WAN出口(電信和網(wǎng)通)訪問互聯(lián)網(wǎng)�����,網(wǎng)絡(luò)結(jié)構(gòu)較為簡單�����,外網(wǎng)路由器主交換機(jī)二層交換機(jī)客戶端����。故障詳細(xì)描述:同時(shí)接上兩個(gè)外網(wǎng)出口時(shí),整個(gè)網(wǎng)絡(luò)訪問通訊出現(xiàn)異常��,網(wǎng)絡(luò)速度異常緩慢����,很多用戶甚至不能上網(wǎng),在客戶端進(jìn)行ping包測試時(shí)發(fā)現(xiàn)���,本地客戶端嚴(yán)重丟包�,斷開網(wǎng)通的外網(wǎng)出口,網(wǎng)絡(luò)卻又恢復(fù)正常�,ping包測試也無異常。故障分析由于在斷開網(wǎng)通的線路后����,網(wǎng)絡(luò)訪問正常,初步懷疑是網(wǎng)通線路問題��,于是用筆記本單獨(dú)接網(wǎng)通線路測試����,一切正常�,所以首
2、先排除了網(wǎng)通線路的問題��。在排除線路問題后����,我們將問題重點(diǎn)放在了內(nèi)網(wǎng)主機(jī)檢查上。由于網(wǎng)絡(luò)速度緩慢并且出現(xiàn)斷網(wǎng)的情況����,所以懷疑網(wǎng)絡(luò)中有主機(jī)感染ARP或其他蠕蟲病毒攻擊導(dǎo)致網(wǎng)絡(luò)癱瘓,于是決定用科來網(wǎng)絡(luò)分析系統(tǒng)抓包分析,在中心交換機(jī)上做好端口鏡像�����,在筆記本上安裝科來網(wǎng)絡(luò)分析系統(tǒng)�����,將筆記本接到中心交換機(jī)的端口上�����,啟動(dòng)科來網(wǎng)絡(luò)分析系統(tǒng)開始捕獲數(shù)據(jù)�����,約6分鐘后停止捕獲并分析捕獲到的數(shù)據(jù)包�。我們首先了解網(wǎng)絡(luò)的整體運(yùn)行狀態(tài),在概要統(tǒng)計(jì)視圖中可以看到:網(wǎng)絡(luò)的總共流量為1.828GB�����,而利用率則達(dá)到了近80%����,這是網(wǎng)絡(luò)緩慢的一個(gè)重要指示參數(shù)。我們再看TCP的參數(shù)信息,此處
3�����、���,TCP的同步數(shù)據(jù)包與結(jié)束連接數(shù)據(jù)包分別是17796和9963個(gè)�,由TCP的工作原理我們知道�,TCP在工作時(shí)首先會(huì)通過三次握手建立連接,數(shù)據(jù)傳輸完成后��,必須關(guān)閉連接�����,在建立握手的時(shí)候����,會(huì)產(chǎn)生2個(gè)同步數(shù)據(jù)包��,而關(guān)閉連接的時(shí)候�,也會(huì)產(chǎn)生2個(gè)同步數(shù)據(jù)包,所以����,理論情況下����,1個(gè)TCP連接的同步數(shù)據(jù)包與結(jié)束連接數(shù)據(jù)包應(yīng)該大致相等����,如果二者的數(shù)據(jù)包相差較大,說明當(dāng)前的網(wǎng)絡(luò)傳輸不正常���。如圖1����。成都科來軟件有限公司電話:028-85120922Email:sales@colasoft.com.cnhttp://www.colasoft.com.cn傳真:028-85
4����、120911support@colasoft.com.cn6/6許昌某網(wǎng)吧網(wǎng)絡(luò)故障診斷圖1選擇端點(diǎn)視圖,我們發(fā)現(xiàn)�����,IP地址為192.168.1.2這臺主機(jī)的網(wǎng)絡(luò)連接數(shù)較多���,并且流量也比較大�����,所以����,我們定位這個(gè)IP,單獨(dú)對其分析�����。在節(jié)點(diǎn)瀏覽器中選擇192.168.1.2�,打開矩陣連接視圖,我們看到�,該主機(jī)的通訊主機(jī)數(shù)達(dá)到了1000個(gè),并且很大一部分為單向流量�����,如圖2��。成都科來軟件有限公司電話:028-85120922Email:sales@colasoft.com.cnhttp://www.colasoft.com.cn傳真:028-85120911s
5���、upport@colasoft.com.cn6/6許昌某網(wǎng)吧網(wǎng)絡(luò)故障診斷圖2打開圖表視圖,我們查看該主機(jī)的TCP連接情況���。從中可以看到�����,該主機(jī)的TCP同步數(shù)據(jù)包����、結(jié)束連接數(shù)據(jù)包以及復(fù)位數(shù)據(jù)包的比例,如圖3�。成都科來軟件有限公司電話:028-85120922Email:sales@colasoft.com.cnhttp://www.colasoft.com.cn傳真:028-85120911support@colasoft.com.cn6/6許昌某網(wǎng)吧網(wǎng)絡(luò)故障診斷圖3打開會(huì)話視圖,查看該主機(jī)的TCP會(huì)話情況���,如圖4���。成都科來軟件有限公司電話:028-8
6、5120922Email:sales@colasoft.com.cnhttp://www.colasoft.com.cn傳真:028-85120911support@colasoft.com.cn6/6許昌某網(wǎng)吧網(wǎng)絡(luò)故障診斷圖4在該主機(jī)的TCP通訊中�����,我們可以看到:該主機(jī)嘗試通過不同的端口試圖與其他IP建立連接�,發(fā)送的數(shù)據(jù)包大小均為246B,但是�,并沒有收到目標(biāo)主機(jī)的任何回應(yīng)數(shù)據(jù)包,這說明��,其發(fā)送的同步數(shù)據(jù)包被目標(biāo)主機(jī)復(fù)位終止了連接或目標(biāo)主機(jī)均為異常的IP地址,是該主機(jī)感染病毒后隨機(jī)向其他主機(jī)發(fā)送同步連接數(shù)據(jù)包以試圖感染其他主機(jī)��。所以�,綜合以上的判斷
7、����,我們確定,192.168.1.2這個(gè)主機(jī)感染蠕蟲病毒�����,正在發(fā)送大量的數(shù)據(jù)包進(jìn)行掃描以試圖感染其他主機(jī)��。通過類似的方法���,我們發(fā)現(xiàn):192.168.1.94這個(gè)IP也存在同樣的行為�����,不過���,掃描方法由TCP掃描變?yōu)榱薝DP掃描,目標(biāo)主機(jī)也基本是內(nèi)網(wǎng)IP���,并且�����,其發(fā)包的頻率也非?���??����,1秒左右的時(shí)間就會(huì)發(fā)起10個(gè)同樣的數(shù)據(jù)包���,以試圖攻擊或感染其他主機(jī)�,對網(wǎng)絡(luò)帶寬的耗費(fèi)是非常嚴(yán)重的�����。如圖5和圖6���。圖5成都科來軟件有限公司電話:028-85120922Email:sales@colasoft.com.cnhttp://www.colasoft.com.cn傳真:
8�����、028-85120911support@colasoft.com.cn6/6許昌某網(wǎng)吧網(wǎng)絡(luò)故障診斷圖6其次�,
