資源描述:
《案例分析-電業(yè)局網(wǎng)絡(luò)故障診斷-科來軟件》由會員上傳分享�,免費在線閱讀��,更多相關(guān)內(nèi)容在工程資料-天天文庫��。
1��、案例分析一某電業(yè)局網(wǎng)絡(luò)故障診斷一���、故障描述故障地點:某電業(yè)局故障現(xiàn)象:網(wǎng)絡(luò)嚴(yán)車阻塞,內(nèi)部主機上網(wǎng)甚至內(nèi)部主機間的通訊均時斷時續(xù)��。故障詳細描述:網(wǎng)絡(luò)突然曲現(xiàn)通訊中斷���,某些VLAN不能訪問互聯(lián)網(wǎng)��,口與其它VLAN的訪問也會出現(xiàn)中斷���,在機房中述行ping包測試,發(fā)現(xiàn)中心交換機到該VLAN內(nèi)主機的ping包響應(yīng)時間較長,且出現(xiàn)間歇性丟包��,VLAN與VLAN間的丟包情況則更加嚴(yán)重�。二��、故障詳細分析1.前期分析初步判斷引起問題的原因可能是:?交換機ARP表更新問題?廣播或路由環(huán)路故障?人為或病毒攻擊需耍進一步獲取的
2�、信息:?網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及正常工作時的情況?交換機ARP表信息及交換機負(fù)載情況?網(wǎng)絡(luò)中傳輸?shù)脑紨?shù)據(jù)包2.具體分析首先����,我們從網(wǎng)絡(luò)管理員那兒,得知了網(wǎng)絡(luò)中主機共450臺左右����,同時得到了網(wǎng)絡(luò)的簡單拓?fù)鋱D,如圖1所示�。Internet省單位10.230.202.0/24防火埼中心交換機10.230.203.0(24/10230.204.0/24■'10.230.206.0/24!服務(wù)器群丿有單位10.230.202.0/24中心交換機(圖1網(wǎng)絡(luò)原始拓?fù)浜唸D)從圖1可以知道,網(wǎng)絡(luò)中劃分了6個VLAN,分別是10.
3���、230.201.0/24����、10.230.202.0/24�����、10.230.203.0/24����、10.230.204.0/24���、10.230.205.0/24>10.230.206.0/24、�����,其中201?205這5個VLAN分別用于一個部門��,而206為服務(wù)器專用網(wǎng)段���。各VLAN同時連接上中心交換機(Passport8010),中心交換機再連接到防火墻,由防火墻連接到Internet以及省單位����。大致了解了網(wǎng)絡(luò)拓?fù)浜螅覀円猿壗K端方式登錄中心交換機��,發(fā)現(xiàn)交換機的負(fù)載鮫大����,立即淸除交換機ARP表并重啟,但故障仍
4��、然存在����,于是我們決定對網(wǎng)絡(luò)進行抓包分析�����。在中心交換機(Passport8010)上配置好端口鏡像(具體配置信息����,略)����,并將女裝科來網(wǎng)絡(luò)分析系統(tǒng)的筆記本接到中心交換機的鏡像口上,女裝好后網(wǎng)絡(luò)的拓?fù)浜唸D如圖2所示����。Internet防火塢10.230.201.Q/2-鏡^鏡像口科來網(wǎng)絡(luò)分析系統(tǒng)10.230.204.0/2410.230.205.0^4I■!服務(wù)器群10230.206.0/2410.230.203.0/24(圖2女裝科來網(wǎng)絡(luò)分析系統(tǒng)后的網(wǎng)絡(luò)拓?fù)浜唸D)山于科來網(wǎng)絡(luò)分析系統(tǒng)可以跨VLAN對數(shù)據(jù)進行捕
5、獲分析��,所以在中心交換機上接入安裝科來網(wǎng)絡(luò)分析系統(tǒng)的筆記木后�����,網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)并未發(fā)生任何改變����。打開筆記木1二的科來網(wǎng)絡(luò)分析系統(tǒng)�,捕獲數(shù)據(jù)包約1分鐘(捕獲停止斤發(fā)現(xiàn)確切時間是53秒)后停止捕獲����,并對捕獲到的數(shù)據(jù)通訊進行分析。將節(jié)點瀏覽器定位到物理端點卜的木地網(wǎng)段����,我們發(fā)現(xiàn)MAC地址為00:00:E8:40:44:99的主機,下而共有40個IP地址���,如圖3�����。(圖3定位本地網(wǎng)段的端點視圖)我們知道,在正常情況下���,一個MAC地址下面出現(xiàn)多個IP地址���,只可能有以下兒種情況之一:網(wǎng)關(guān)、代理服務(wù)器�、手動綁定多個1P地
6、址��。咨詢網(wǎng)絡(luò)管理員得知,該網(wǎng)段內(nèi)的機器均只綁定了一個MAC地址��,>1?沒有代理服務(wù)器��,同時該MAC也不是網(wǎng)關(guān)MAC地址�,由此,我們懷疑����,該主機可能存在欺騙攻擊。右鍵單擊圖3中的00:00:E8:40:44:99節(jié)點,在彈出的菜單中選擇“定位瀏覽器節(jié)點(L)”命令�,將節(jié)點瀏覽器中定位到00:00:E8:40:44:99o杏看協(xié)議視圖,發(fā)現(xiàn)該節(jié)點主動發(fā)起了22613個ARP回復(fù)數(shù)據(jù)包����,而ARP請求數(shù)據(jù)包只有2個,如圖4所示����。工程l.cscproj-科耒冋第分析不統(tǒng)[停止J-00:00:E8:40:44:99
7、文件6)M?(X)2#(V)工程C?)工MenSOer)SttOO打開w粘o?.t.9af00:0A:ZB:2D:DF<7U).Xj)00:0A:EB:2D:Z36A(1)&對00:0E:A6:X:9446(D00:ll:09:32:C6:2C(1)00:0C:6E:38:10D7(1)00:00Z8404499(40)00:00E8403D75(1)0000E8402DK(1)0000E8403FDE(1)00138F4AFZCC(1)000BDB4B4661(1)?須00104C4E36BC(1)0
8�����、008744ECO85a)000AKBS5BAisa)000AIBS56055(1)000AKBS55C88(1)000AIBS55F92(1)000AKBS5815?a)000A2BS582wa)■矽00OAIB55SB66(1)00OAKBS58DBE(1)?對00:0AKB:55:5150(1)00:105A5C11B5(1)00:50BK63:47FA(1)€00:50BA6341D6(1)>適配般?5tXi+診DiWL?5克攝數(shù)翳
