案例分析 - 某中学网络故障诊断.doc

某中学网络故障诊断成都科来软件有限公司 电话：028-85120922Email：salescolasoft.com.cn http:/www.colasoft.com.cn传真：028-85120911supportcolasoft.com.cn 1 / 6案例分析案例分析 某中学网络故障诊断某中学网络故障诊断一、一、故障描述故障描述故障地点故障地点： 江苏省某中学校园网故障现象故障现象： 严重网络阻塞，客户机之间相互 ping 时严重丢包，校园网用户访问互联网的速度非常慢， 甚至不能访问。故障详细描述故障详细描述： 整个校园网突然出现网络通讯中断，内部用户均不能正常访问互联网，在机房中进行 ping 包测试时发现，中心机房客户机对中心交换机管理地址的 ping 包响应时间较长且出现随机 性丢包，主机房客户机对二级交换机通讯的通讯丢包情况更加严重。二、二、故障详细分析故障详细分析1. 前期分析前期分析初步判断引起问题的原因可能是：交换机 ARP 表更新问题 广播或路由环路故障 病毒攻击需要进一步获取的信息：ARP 信息 交换机负载 网络中传输的原始数据包2.2. 故障具体分析排查故障具体分析排查开始实际具体排查工作：1.在主机房的客户机和以下的客户机上分别使用“arp a”命令查看 ARP 缓存信息，结某中学网络故障诊断成都科来软件有限公司 电话：028-85120922Email：salescolasoft.com.cn http:/www.colasoft.com.cn传真：028-85120911supportcolasoft.com.cn 2 / 6果正常； 2.登录中心交换机查看各端口的流量，由于交换机反应速度较慢，操作超时，无法获得 负载的实际流量； 3.使用科来网络分析系统 5.0 捕获并分析网络中传输的数据包，具体过程如下。在中心交换机上做好端口镜像配置操作，并将分析用笔记本接到此端口上，启动科来网络 分析系统 5.0 捕获分析网络的数据通讯，约 2.5 分钟后停止捕获并分析捕获到的数据包。XX 中学校园网的主机约为 1000 台，一般情况下，同时在线的有 600 台左右。在停止捕获 后，我们在科来网络分析系统 5.0 主界面左边的节点浏览器中发现，内部网络（Private- Use Networks）同时在线的 IP 主机达到了 6515 台，如图 1，这表示网络存在许多伪造的 IP 主机，网络中可能存在伪造 IP 地址攻击或自动扫描攻击。选择连接视图，发现在约 2.5 分钟的时间内网络中共发起了 3027 个连接，且状态大多都是 客户端请求同步，即三次握手的第一步，由 TCP 工作原理可知，TCP 工作时首先通过三次 握手发起连接，如果请求端向不存在的目的端发起了同步请求，由于不会收到目的端主机 的确认回复，其状态将会一直处于请求同步直到超时断开，据此，我们现在更加断定校园 网中存在自动扫描攻击。详细查看图 1 的连接信息，发现这些连接大多都是由 192.168.5.119 主机发起，即连接的 源地址是 192.168.5.119。选中源地址是 192.168.5.119 的任意一个连接，单击鼠标右键， 在弹出的右键菜单中选择“定位浏览器节点>>端点 1 IP” ，这时节点浏览器将自动定位到 192.168.5.119 主机。某中学网络故障诊断成都科来软件有限公司 电话：028-85120922Email：salescolasoft.com.cn http:/www.colasoft.com.cn传真：028-85120911supportcolasoft.com.cn 3 / 6（图 1 网络中的 TCP 连接信息）选择图表视图，并选中 TCP 连接子视图项，查看 192.168.5.119 主机的 TCP 连接情况，如 图 2 所示。查看图 2 可知，192.168.5.119 这台主机在约 2.5 分钟的时间内发起了 2800 个 连接，且其中有 2793 个连接都是初始化连接，即同步连接，这表示 192.168.5.119 主机肯 定存在自动扫描攻击。（图 2 192.168.2.119 主机的 TCP 连接信息）选择数据包视图查看 192.168.5.119 传输数据的原始解码信息，如图 3。从图 3 可知，这 些数据包的大小都是 66 字节，协议都是 CIFS，源地址都是 192.168.5.119，而目标地址则 随机产生，目标端口都是 445，且数据包的 TCP 标记位都将同步位置 1，这说明 192.168.5.119 这台机器正在主动对网络中主机的 TCP 445 端口进行扫描攻击，原因可能 是 192.168.5.119 主机感染病毒程序，或者是人为使用扫描软件进行攻击。某中学网络故障诊断成都科来软件有限公司 电话：028-85120922Email：salescolasoft.com.cn http:/www.colasoft.com.cn传真：028-85120911supportcolasoft.com.cn 4 / 6（图 3 192.168.2.119 主机的数据包解码信息）找到问题的根源后，正准备对 192.168.5.119 主机进行隔离，这时因其它事情中断分析工 作约 10 分钟左右。继续工作，隔离 192.168.5.119 主机的同时再次将启动科来网络分析系统 5.0 捕获分析网 络的数据通讯，约 2.5 分钟后停止捕获并分析捕获到的数据包。分析捕获到的数据包，网络中又出现了 3 台与 192.168.5.119 相似情况的主机，且这些主 机发起的同步连接数都大大超过 192.168.5.119，图 4 所示的即是其中一台主机在约 2.5 分钟内的发起的连接数，其中同步连接达到了 6431 个。通过这个情况，我们可以肯定 192.168.5.119 和新发现的三台主机都是感染了病毒，且该 病毒会主动扫描网络中其它主机是否打开 TCP 445 端口，如果某主机打开该端口，就攻击 并感染这台主机。如此循环，即引发了上述的网络故障。某中学网络故障诊断成都科来软件有限公司 电话：028-85120922Email：salescolasoft.com.cn http:/www.colasoft.com.cn传真：028-85120911supportcolasoft.com.cn 5 / 6（图 4 192.168.4.34 主机的 TCP 连接信息）网管人员立即对新发现感染病毒的 3 台主机进行隔离，ping 测试响应时间立刻变为 1ms， 网络通讯立刻恢复正常。在分析中，我们还发现，192.168.101.57 主机占用的流量较大，其通讯数据包的源端和目 的端都使用 UDP 6020 端口，且与 192.168.101.57 通信的地址 227.1.2.7 是一个组播 IP 地 址，签于此，我们推测 192.168.101.57 可能在使用在线视频点播之类的应用，并因此对网 络资源造成了一定程度的耗费，其通讯数据包如图 5 所示。对于这种情况，网管人员也应 对其进行检查，确定其合法性，以避免网络带宽被一些非关键业务所耗费。某中学网络故障诊断成都科来软件有限公司 电话：028-85120922Email：salescolasoft.com.cn http:/www.colasoft.com.cn传真：028-85120911supportcolasoft.com.cn 6 / 6（图 5 192.168.101.57 主机的通讯数据包信息）在第一次和第二次捕获之间，相隔仅 10 分钟的时间，网络中就被新感染主机三台。由此我 们可以想象，如果不使用网络检测分析软件捕获分析网络中传输的数据包，仅通过查看交 换机的端口流量，或者使用单纯的流量软件，将很难找到问题的根源，这样网络中感染的 主机会越来越多，最终将导致整个网络的全部瘫痪。以上便是笔者使用科来网络分析系统 5.0 诊断该校园网故障的全过程，在网络出现速度慢、 时断时续、不能访问时，网管人员均可使用这种方法对故障进行诊断排查。成都科来软件有限公司www.colasoft.ocm.cn 2006 年 6 月