資源描述:
《案例分析 - 某電業(yè)局網(wǎng)絡(luò)故障診斷.doc》由會員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫���。
1�����、案例分析-某電業(yè)局網(wǎng)絡(luò)故障診斷一��、故障描述故障地點(diǎn):某電業(yè)局故障現(xiàn)象:網(wǎng)絡(luò)嚴(yán)重阻塞����,內(nèi)部主機(jī)上網(wǎng)甚至內(nèi)部主機(jī)間的通訊均時斷時續(xù)����。故障詳細(xì)描述:網(wǎng)絡(luò)突然出現(xiàn)通訊中斷,某些VLAN不能訪問互聯(lián)網(wǎng)���,且與其它VLAN的訪問也會出現(xiàn)中斷����,在機(jī)房中進(jìn)行ping包測試,發(fā)現(xiàn)中心交換機(jī)到該VLAN內(nèi)主機(jī)的ping包響應(yīng)時間較長�����,且出現(xiàn)間歇性丟包�,VLAN與VLAN間的丟包情況則更加嚴(yán)重。二��、故障詳細(xì)分析1.前期分析初步判斷引起問題的原因可能是:l交換機(jī)ARP表更新問題l廣播或路由環(huán)路故障l人為或病毒攻擊需要進(jìn)一步獲取的信息:l網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及正常工作時的情況l交換機(jī)ARP表信
2�����、息及交換機(jī)負(fù)載情況l網(wǎng)絡(luò)中傳輸?shù)脑紨?shù)據(jù)包2.具體分析首先���,我們從網(wǎng)絡(luò)管理員那兒,得知了網(wǎng)絡(luò)中主機(jī)共450臺左右��,同時得到了網(wǎng)絡(luò)的簡單拓?fù)鋱D���,如圖1所示�。(圖1 網(wǎng)絡(luò)原始拓?fù)浜唸D)從圖1可以知道,網(wǎng)絡(luò)中劃分了6個VLAN���,分別是10.230.201.0/24�����、10.230.202.0/24��、10.230.203.0/24�、10.230.204.0/24��、10.230.205.0/24���、10.230.206.0/24���、,其中201~205這5個VLAN分別用于一個部門��,而206為服務(wù)器專用網(wǎng)段�。各VLAN同時連接上中心交換機(jī)(Passport8010),中心交
3���、換機(jī)再連接到防火墻�����,由防火墻連接到Internet以及省單位�����。大致了解了網(wǎng)絡(luò)拓?fù)浜?,我們以超級終端方式登錄中心交換機(jī),發(fā)現(xiàn)交換機(jī)的負(fù)載較大�,立即清除交換機(jī)ARP表并重啟,但故障仍然存在����,于是我們決定對網(wǎng)絡(luò)進(jìn)行抓包分析。在中心交換機(jī)(Passport8010)上配置好端口鏡像(具體配置信息�����,略)���,并將安裝科來網(wǎng)絡(luò)分析系統(tǒng)的筆記本接到中心交換機(jī)的鏡像口上,安裝好后網(wǎng)絡(luò)的拓?fù)浜唸D如圖2所示�����。(圖2 安裝科來網(wǎng)絡(luò)分析系統(tǒng)后的網(wǎng)絡(luò)拓?fù)浜唸D)由于科來網(wǎng)絡(luò)分析系統(tǒng)可以跨VLAN對數(shù)據(jù)進(jìn)行捕獲分析,所以在中心交換機(jī)上接入安裝科來網(wǎng)絡(luò)分析系統(tǒng)的筆記本后��,網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)并未發(fā)生
4���、任何改變�����。打開筆記本上的科來網(wǎng)絡(luò)分析系統(tǒng)���,捕獲數(shù)據(jù)包約1分鐘(捕獲停止后發(fā)現(xiàn)確切時間是53秒)后停止捕獲,并對捕獲到的數(shù)據(jù)通訊進(jìn)行分析�����。將節(jié)點(diǎn)瀏覽器定位到物理端點(diǎn)下的本地網(wǎng)段����,我們發(fā)現(xiàn)MAC地址為00:00:E8:40:44:99的主機(jī),下面共有40個IP地址�,如圖3。(圖3 定位本地網(wǎng)段的端點(diǎn)視圖)我們知道�,在正常情況下,一個MAC地址下面出現(xiàn)多個IP地址,只可能有以下幾種情況之一:網(wǎng)關(guān)�、代理服務(wù)器、手動綁定多個IP地址�。咨詢網(wǎng)絡(luò)管理員得知,該網(wǎng)段內(nèi)的機(jī)器均只綁定了一個MAC地址����,且沒有代理服務(wù)器,同時該MAC也不是網(wǎng)關(guān)MAC地址�,由此,我們懷疑��,該主機(jī)可
5��、能存在欺騙攻擊���。右鍵單擊圖3中的00:00:E8:40:44:99節(jié)點(diǎn)���,在彈出的菜單中選擇“定位瀏覽器節(jié)點(diǎn)(L)”命令,將節(jié)點(diǎn)瀏覽器中定位到00:00:E8:40:44:99����。查看協(xié)議視圖,發(fā)現(xiàn)該節(jié)點(diǎn)主動發(fā)起了22613個ARP回復(fù)數(shù)據(jù)包����,而ARP請求數(shù)據(jù)包只有2個,如圖4所示���。(圖4 00:00:E8:40:44:99主機(jī)通訊的協(xié)議分布)從圖4下面的數(shù)據(jù)包可以知道�,00:00:E8:40:44:99主動向網(wǎng)絡(luò)中的其它主機(jī)發(fā)出ARP回復(fù)數(shù)據(jù)包��,內(nèi)容是告訴對方主機(jī)��,自己是某個IP的主機(jī)�����,而這個IP在不斷地變化�����。由此可以斷定����,MAC地址為00:00:E8:40:
6、44:99的機(jī)器在進(jìn)行ARP欺騙�����。同時,診斷視圖的ARP診斷事件區(qū)時����,也給出了相應(yīng)的提示信息,如圖5����。(圖5 00:00:E8:40:44:99的ARP診斷信息)經(jīng)過上面的分析,我們確定00:00:E8:40:44:99存在ARP欺騙攻擊���,網(wǎng)管人員立刻開始查找該主機(jī)��,由于他們以前做了IP與MAC地址的統(tǒng)計(jì)表�����,所以很輕松地就找到了該機(jī)器��。在二層交換機(jī)上撥掉該主機(jī)的網(wǎng)線�����,網(wǎng)絡(luò)很快恢復(fù)正常�����,VLAN間的內(nèi)部訪問和外部訪問(包括Internet和省網(wǎng)單位)速度均恢復(fù)正常��。另外��,從圖3的顯示可知��,00:02:B0:BC:68:D2�、00:0B:DB:4B:46:81����、
7、00:11:25:8D:7D:C1三臺機(jī)器占用的流量較大��,通過查看這幾臺機(jī)器的具體流量后��,發(fā)現(xiàn)00:02:B0:BC:68:D2和00:0B:DB:4B:46:81在互相進(jìn)行數(shù)據(jù)拷貝���,而00:11:25:8D:7D:C1對應(yīng)的IP地址是10.230.204.1����,它是10.230.204.0/24網(wǎng)段的網(wǎng)關(guān)���,占用較量較大屬于正常情況���。由此基本斷定網(wǎng)絡(luò)時斷時續(xù)的根源即前面找出的00:00:E8:40:44:99主機(jī)��。找出故障點(diǎn)�����,并幫助網(wǎng)絡(luò)恢復(fù)正常后����,我們因?yàn)槠渌氖虑殡x開了現(xiàn)場�����,并未去排查00:00:E8:40:44:99的具體情況��。下午接到電業(yè)局網(wǎng)管人員的電話
8����、,告知在找到MAC地址為00:00:E8:40:44
