資源描述:
《案例分析 - 某中學(xué)網(wǎng)絡(luò)故障診斷》由會員上傳分享����,免費在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫�。
1、某中學(xué)網(wǎng)絡(luò)故障診斷案例分析-某中學(xué)網(wǎng)絡(luò)故障診斷一��、故障描述故障地點:江蘇省某中學(xué)校園網(wǎng)故障現(xiàn)象:嚴重網(wǎng)絡(luò)阻塞�����,客戶機之間相互ping時嚴重丟包��,校園網(wǎng)用戶訪問互聯(lián)網(wǎng)的速度非常慢�����,甚至不能訪問。故障詳細描述:整個校園網(wǎng)突然出現(xiàn)網(wǎng)絡(luò)通訊中斷,內(nèi)部用戶均不能正常訪問互聯(lián)網(wǎng),在機房中進行ping包測試時發(fā)現(xiàn)�,中心機房客戶機對中心交換機管理地址的ping包響應(yīng)時間較長且出現(xiàn)隨機性丟包�,主機房客戶機對二級交換機通訊的通訊丟包情況更加嚴重��。二�、故障詳細分析1.前期分析初步判斷引起問題的原因可能是:l交換機ARP表更新問題l廣播或路由環(huán)路故障l病毒攻擊需要進一步獲取的信息:lARP信息l交換機負載l網(wǎng)絡(luò)中
2�����、傳輸?shù)脑紨?shù)據(jù)包2.故障具體分析排查開始實際具體排查工作:1.在主機房的客戶機和以下的客戶機上分別使用“arp–a”命令查看ARP緩存信息�����,成都科來軟件有限公司電話:028-85120922Email:sales@colasoft.com.cnhttp://www.colasoft.com.cn傳真:028-85120911support@colasoft.com.cn6/6某中學(xué)網(wǎng)絡(luò)故障診斷結(jié)果正常����;1.登錄中心交換機查看各端口的流量,由于交換機反應(yīng)速度較慢��,操作超時����,無法獲得負載的實際流量����;2.使用科來網(wǎng)絡(luò)分析系統(tǒng)5.0捕獲并分析網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包�,具體過程如下。在中心交換機上做好端口
3��、鏡像配置操作�����,并將分析用筆記本接到此端口上�����,啟動科來網(wǎng)絡(luò)分析系統(tǒng)5.0捕獲分析網(wǎng)絡(luò)的數(shù)據(jù)通訊�,約2.5分鐘后停止捕獲并分析捕獲到的數(shù)據(jù)包。XX中學(xué)校園網(wǎng)的主機約為1000臺�,一般情況下,同時在線的有600臺左右�����。在停止捕獲后�,我們在科來網(wǎng)絡(luò)分析系統(tǒng)5.0主界面左邊的節(jié)點瀏覽器中發(fā)現(xiàn),內(nèi)部網(wǎng)絡(luò)(Private-UseNetworks)同時在線的IP主機達到了6515臺,如圖1��,這表示網(wǎng)絡(luò)存在許多偽造的IP主機��,網(wǎng)絡(luò)中可能存在偽造IP地址攻擊或自動掃描攻擊��。選擇連接視圖�����,發(fā)現(xiàn)在約2.5分鐘的時間內(nèi)網(wǎng)絡(luò)中共發(fā)起了3027個連接�����,且狀態(tài)大多都是客戶端請求同步����,即三次握手的第一步���,由TCP工作原理可
4�、知���,TCP工作時首先通過三次握手發(fā)起連接����,如果請求端向不存在的目的端發(fā)起了同步請求,由于不會收到目的端主機的確認回復(fù)����,其狀態(tài)將會一直處于請求同步直到超時斷開,據(jù)此�����,我們現(xiàn)在更加斷定校園網(wǎng)中存在自動掃描攻擊����。詳細查看圖1的連接信息,發(fā)現(xiàn)這些連接大多都是由192.168.5.119主機發(fā)起�,即連接的源地址是192.168.5.119。選中源地址是192.168.5.119的任意一個連接���,單擊鼠標(biāo)右鍵�����,在彈出的右鍵菜單中選擇“定位瀏覽器節(jié)點>>端點1IP”���,這時節(jié)點瀏覽器將自動定位到192.168.5.119主機����。成都科來軟件有限公司電話:028-85120922Email:sales@cola
5����、soft.com.cnhttp://www.colasoft.com.cn傳真:028-85120911support@colasoft.com.cn6/6某中學(xué)網(wǎng)絡(luò)故障診斷(圖1網(wǎng)絡(luò)中的TCP連接信息)選擇圖表視圖,并選中TCP連接子視圖項�����,查看192.168.5.119主機的TCP連接情況���,如圖2所示�。查看圖2可知�,192.168.5.119這臺主機在約2.5分鐘的時間內(nèi)發(fā)起了2800個連接,且其中有2793個連接都是初始化連接��,即同步連接��,這表示192.168.5.119主機肯定存在自動掃描攻擊�����。(圖2 192.168.2.119主機的TCP連接信息)選擇數(shù)據(jù)包視圖查看192.168
6���、.5.119傳輸數(shù)據(jù)的原始解碼信息�,如圖3�。從圖3可知,這些數(shù)據(jù)包的大小都是66字節(jié)���,協(xié)議都是CIFS�����,源地址都是192.168.5.119�����,而目標(biāo)地址則隨機產(chǎn)生�����,目標(biāo)端口都是445�����,且數(shù)據(jù)包的TCP標(biāo)記位都將同步位置1����,這說明192.168.5.119這臺機器正在主動對網(wǎng)絡(luò)中主機的TCP445端口進行掃描攻擊,原因可能是192.168.5.119主機感染病毒程序����,或者是人為使用掃描軟件進行攻擊。成都科來軟件有限公司電話:028-85120922Email:sales@colasoft.com.cnhttp://www.colasoft.com.cn傳真:028-85120911suppo
7��、rt@colasoft.com.cn6/6某中學(xué)網(wǎng)絡(luò)故障診斷(圖3 192.168.2.119主機的數(shù)據(jù)包解碼信息)找到問題的根源后�����,正準備對192.168.5.119主機進行隔離�,這時因其它事情中斷分析工作約10分鐘左右。繼續(xù)工作�,隔離192.168.5.119主機的同時再次將啟動科來網(wǎng)絡(luò)分析系統(tǒng)5.0捕獲分析網(wǎng)絡(luò)的數(shù)據(jù)通訊,約2.5分鐘后停止捕獲并分析捕獲到的數(shù)據(jù)包����。分析捕獲到的數(shù)據(jù)包,網(wǎng)絡(luò)中又出現(xiàn)了3臺與192.1
