CSNA网络分析论坛»首页 流量分析产品区 科来产品 Xx局网络故障分析
返回列表 发帖
查看: 4590|回复: 9

Xx局网络故障分析

[复制链接]
yucl_0
发表于 2008-6-19 09:58:17 | 显示全部楼层 |阅读模式
Xx局网络故障分析

一、        网络拓扑

                          图一网络拓扑
二、        网络应用
        Ip地址        网关        访问网络
生产网        10.199.235.224/27        10.199.235.254        省局生产网
生产网        10.199.235.224/27        10.199.235.252        互联网
办公网        192.168.1.0/24        192.168.1.1        互联网
办公网        192.168.1.0/24        192.168.1.252        部分生产网
表一ip地址表
生产网pc以防火墙ip地址10.199.235.252作为网关可以直接访问互联网。并且该pc上都做上静态路由 route add 10.0.0.0 mask 255.0.0.0 10.199.235.254访问生产网。
生产网pc 大概20来台
办公网pc的网关是192.168.1.1访问互联网,而加上route add 10.0.0.0 mask 255.0.0.0 192.168.1.252可以访问部分生产网。
办公网pc有160台,分4个valn,一个楼层对应一个valn
三、        故障描述
生产网pc现在无法上互联网,可以访问省局生产网
办公网pc正常访问互联网,正常访问省局生产网。
四、        故障分析
根据故障描述,防火墙应该没有问题,但还是重启了一下防火墙,故障依旧。因为我们生产网经过防火墙出来,也是一个vlan ,对我们办公网没有影响,所以,故障重点应该在于生产网内部pc。
以下为科来抓包分析:
概要统计

图二概要统计
根据概要统计,1024-1517数据包分布占比太大,输入流量远大于输出流量,初步怀疑有人在看视频或者是下载什么东西。

图三诊断视图
根据诊断视图tcp重传数据包过多的ip为10.199.235.237 10.199.235.238 10.199.235.242

图四端点视图
从端点视图可以看出,10.199.235.238跟10.199.235.242超级流量,这两台机重点排查。先看看矩阵

                       图五矩阵1
从矩阵1可以看出10.199.235.254接收数据包远大于发送数据包,存在ddos攻击

                         图六  矩阵2




图七协议视图

图八数据包视图

从矩阵2看出10.199.235.238跟141台主机建立连接,发送数据包远大于接收数据包,在根据它的协议视图可以看出,它是在迅雷下载
五.故障处理
断网隔离10.199.235.242跟10.199.235.238.故障解决



2008-6-19

[ 本帖最后由 yucl_0 于 2008-6-19 18:00 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×

评分

1

查看全部评分

回复

使用道具 举报

yucl_0
 楼主| 发表于 2008-6-19 13:14:39 | 显示全部楼层

原创,没人顶,自己顶了

原创,没人顶,自己顶了
回复

使用道具 举报

从零开始
发表于 2008-6-19 13:18:45 | 显示全部楼层
这样看起来太困难了,楼主能把截图发上来吗?
回复

使用道具 举报

yucl_0
 楼主| 发表于 2008-6-19 13:27:40 | 显示全部楼层
看附件呀,附件里有,我也 不知道为什么粘贴不上去

评分

1

查看全部评分

回复

使用道具 举报

oldjiang
发表于 2008-6-19 17:30:47 | 显示全部楼层
原帖由 yucl_0 于 2008-6-19 13:27 发表
看附件呀,附件里有,我也 不知道为什么粘贴不上去

首先浏览附件

然后把光标定位在要插入附件的位置

接着点插入

图文并茂就出来了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

yucl_0
 楼主| 发表于 2008-6-19 18:01:37 | 显示全部楼层
oldjiang教导有方,又学会一招,终于可以正常发布了
回复

使用道具 举报

oldjiang
发表于 2008-6-19 23:55:25 | 显示全部楼层
"从矩阵1可以看出10.199.235.254接收数据包远大于发送数据包,存在ddos攻击"
1、应该是10.199.235.242吧?
2、我用迅雷下载科来软件,包收发比例跟矩阵1相当,我觉得不能据此就判定DDOS。

3、局域网用防火墙分成两个子网,每个子网有两个网关,分别用于访问广域网和互联网,PC要配置路由表。觉得有点怪,不如每个子网只有一个网关,在防火墙配置路由。(考虑欠周,明天再修改)

[ 本帖最后由 oldjiang 于 2008-6-20 00:55 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

yucl_0
 楼主| 发表于 2008-6-20 08:22:32 | 显示全部楼层
1为笔误
2当时很奇怪,只要他们机器开着,其他生产网的人全部掉线,重启防火墙,过不了几分钟,生产网掉线
3pc应该是根据其自身网关来决定数据的流向,如果一台pc只设置一个网关的话,并要同时兼顾访问生产网跟互联网,在pc上做静态路由是一项不错的选择。
回复

使用道具 举报

oldjiang
发表于 2008-6-20 09:14:45 | 显示全部楼层
1、当前的网络拓扑。

生产网的机器也上互联网,如果中了病毒,向广域网乱发包,上级IT就要找你了。
2、建议的拓扑。

防火墙增加一块网卡,ip为172.17.25.2,互联网路由的ip为172.17.25.1
把生产网需要上互联网的机器全部移到办公网
在防火墙配置路由:route add 10.0.0.0 mask 255.0.0.0 10.199.235.254、route add 0.0.0.0 mask 0.0.0.0 172.17.25.1
PC不需要配置route add
3、当然只是讨论,用的好好的,改他干啥。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?CSNA会员注册

×
回复

使用道具 举报

yucl_0
 楼主| 发表于 2008-6-20 18:00:45 | 显示全部楼层
1目前我们生产网路由器是属于接入层的,做得是静态路由还有访问控制,就是生产网的pc中毒,发包的话,也影响不到汇聚层路由器,对全网没有多大影响
2oldjiang的建议非常好,现在我们在进行网络改造的方式类似你提供的那个拓扑,不过我们还加上了另外两个网,一个视频监控网,另外我们生产网还分金融网跟非金融业务网,加上办公网上oa,最后的办公网的出口就是两台防火墙,全光纤的一个城域网了。
回复

使用道具 举报

返回列表 发帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | CSNA会员注册

本版积分规则

快速回复 返回顶部 返回列表