【半月谈】网吧网络处理分析

saibei

针对分布在全国各地形形色色的大网吧还是小网吧都有各种各样的问题和想象，本半月谈咱们就聊聊网吧的特点现象，故障及分析处理的各种手段。


确保网吧上网的畅通传输、软件和游戏补丁的及时更新、网络以及硬件故障的及时排除，是网吧生存的前提条件。而细致的网络管理和正确的故障分析则是取胜的关键。
本专题主要介绍了网吧中比较常见的各种故障以及相应的解决方法。

关注点有：
1、常见网吧计算机系统故障的解决
2、内存六种常见故障排除方法
3、详解网络故障诊断概念以及应用
4、网络故障及技巧综合集锦

我们主要从几个方面来引导大家对网吧管理和网吧使用的思考，以及分析处理故障的办法等：

·网吧电影服务器解决方案
·网吧频繁掉线（ARP）与解
.网吧技术主管工作经验
·网吧最新攻略之ARP攻击
·网吧常见网络问题
·网吧防毒杀毒维护的经验谈
·网吧路由器，网吧首选，
·网吧电源和网络布线经验谈
·大型网吧网络系统设计详细
·网吧组建全程
·网吧一卡通疑难解答
·解决一些网吧问题的
·网吧疑难杂症解决
·关于网吧的安全
·网吧的网络老卡怎么回事
·网吧CS服务器架设指南
·网吧管理与维护方案
.网吧实现自动更新的一种
·网吧电影服务器解决方案
·网吧频繁掉线（ARP）
·七种方法修改网吧注册表
·网吧组网 光纤接入与ADSL

针对这些问题我们各抒己见，共同探讨。

本次半月谈时间是：2009-1-4→200-1-20

回帖 就有积分奖励哦.....

学习雷锋

故障地点：

　　河南省许昌某网吧

　　网络环境：

　　   网吧大概有200台电脑，采用双WAN出口（电信和网通）访问互联网，网络结构较为简单，外网   路由器   主交换机   二层交换机   客户端。

　　故障详细描述：

　　同时接上两个外网出口时，整个网络访问通讯出现异常，网络速度异常缓慢，很多用户甚至不能上网，在客户端进行ping包测试时发现，本地客户端严重丢包，断开网通的外网出口，网络却又恢复正常，ping包测试也无异常。

　　故障分析

　　由于在断开网通的线路后，网络访问正常，初步怀疑是网通线路问题，于是用笔记本单独接网通线路测试，一切正常，所以首先排除了网通线路的问题。在排除线路问题后，我们将问题重点放在了内网主机检查上。由于网络速度缓慢并且出现断网的情况，所以怀疑网络中有主机感染ARP或其他蠕虫病毒攻击导致网络瘫痪，于是决定用科来网络分析系统抓包分析，在中心交换机上做好端口镜像，在笔记本上安装科来网络分析系统，将笔记本接到中心交换机的端口上，启动科来网络分析系统开始捕获数据，约6分钟后停止捕获并分析捕获到的数据包。

　　我们首先了解网络的整体运行状态，在概要统计视图中可以看到：网络的总共流量为1.828GB，而利用率则达到了近80％，这是网络缓慢的一个重要指示参数。我们再看TCP的参数信息，此处，TCP的同步数据包与结束连接数据包分别是17796和9963个，由TCP的工作原理我们知道，TCP在工作时首先会通过三次握手建立连接，数据传输完成后，必须关闭连接，在建立握手的时候，会产生2个同步数据包，而关闭连接的时候，也会产生2个同步数据包，所以，理论情况下，1个TCP连接的同步数据包与结束连接数据包应该大致相等，如果二者的数据包相差较大，说明当前的网络传输不正常。如图1。

选择端点视图，我们发现，IP地址为192.168.1.2这台主机的网络连接数较多，并且流量也比较大，所以，我们定位这个IP，单独对其分析。
在节点浏览器中选择192.168.1.2，打开矩阵连接视图，我们看到，该主机的通讯主机数达到了1000个，并且很大一部分为单向流量，如图2。


打开图表视图，我们查看该主机的TCP连接情况。从中可以看到，该主机的TCP同步数据包、结束连接数据包以及复位数据包的比例，如图3。


打开会话视图，查看该主机的TCP会话情况，如图4。


在该主机的TCP通讯中，我们可以看到：该主机尝试通过不同的端口试图与其他IP建立连接，发送的数据包大小均为246B，但是，并没有收到目标主机的任何回应数据包，这说明，其发送的同步数据包被目标主机复位终止了连接或目标主机均为异常的IP地址，是该主机感染病毒后随机向其他主机发送同步连接数据包以试图感染其他主机。所以，综合以上的判断，我们确定，192.168.1.2这个主机感染蠕虫病毒，正在发送大量的数据包进行扫描以试图感染其他主机。
通过类似的方法，我们发现：192.168.1.94这个IP也存在同样的行为，不过，扫描方法由TCP扫描变为了UDP扫描，目标主机也基本是内网IP，并且，其发包的频率也非常快，1秒左右的时间就会发起10个同样的数据包，以试图攻击或感染其他主机，对网络带宽的耗费是非常严重的。如图5和图6。





其次，通过UDP会话，我们还发现，IP地址为192.168.1.13的这个主机也存在异常情况，该主机基本全是接收的数据包并没有发送数据包，外网IP不断尝试连接该主机的3325端口，这就说明，该主机感染了木马病毒或正在被攻击。如图7。



综合以上分析，我们对192.168.1.2、192.168.1.94以及192.168.1.13进行了断网隔离，再同时接上电信以及网通双出口，网络未发现异常；同时，对这3台主机进行检查，发现192.168.1.2与192.168.1.94感染病毒，而192.168.1.13则被植入木马，从而导致网络几近瘫痪。至此，通过科来网络分析系统对网络通讯的分析，网络故障全面排除。

alexhe1213

学习学习，没有接触过网吧，所以先看看，呵呵

杨德龙

写的好！！！！辛苦啦！！！！！！

Martin338110

楼主，辛苦了。用户一般都认为这种情况是硬件问题，后面换设备，问题依旧。以后碰到类似的问题，可以进行参考。

best坏小子

分析得不错啊哈。。。学习了~~~~~~~~~~

378967d

学习了！！！！！！

378967d

科来网络分析系统对网络通讯的分析，真的很神奇？！
得试试！！

378967d

还有奖励哦；
真得劲！！！！！！