|
|
本人新手,思路和方法有不对的地方多多包涵。嘿嘿~宗旨:过程不重要,关键是结果-以最快速度解决问题为先!
本人在一学校机房做维护工作,机器不多309台。因为客户机一直装有杀毒软件,所以工作一年多来极少发生因病毒导致的网络问题。
但前两天的一次突然掉线打破了往日的平静...今天抽了点时间整理了一下思路,把当时处理和解决问题的过程和方法在这里和大家分享一下。
机房网络基本结构如下图:(所有交换机均为普通的千M交换机,仅路由器支持像口镜像功能!)
故障发生前:联网机器大概在50台左右,内网单机ping路由 ping值基本稳定在1ms,网络一切正常。
故障发生时:所有机器与外网连接中断,客户机用ARP -A命令 查看路由(网关)MAC地址突然变为00-00-00-00-00-00。
当时简单分析了一下:
1.客户机感染病毒或木马导致路由器当机。
2.路由本身物理问题导致。(因为路由是刚刚换上的新路由,基本排除。)
随即在机房展开排查。首先将连接在路由器上的A(LAN 1)、B(LAN 2)两台主交换机断开,然后用万象2006(LAN 3)数据库服务器ping路由(网关)192.168.0.250,
Ping值随即正常。然后依次装A、B两台交换机重新接回路由器,反复两次后发现只要A交换接入网络,Ping值就会返回: Request timed out.
随即对此主交换下的其它分支交换机开始排查,由于每条网络都有标识,所以很快就锁定了有问题的分支交换机。
然后将其接入装有科来软件的电脑进行数据分析:
1.查看概要统计视图 如下:
2.查看端点视图 如下:
3.左键双击192.168.1.10 查看数据包视图 如下:
至此,问题原因已经找到,将问题机器隔离后网络恢复往日平静,从故障出现到隔离病毒机仅仅3分钟左右!
总结:
1.故障出现时,由故障表现形式 理性分析可能引起该故障的原因。
2.根据可能引起该的原因,按照机率100分比由大至小实施解决方案。
3.经常逛逛知名网络分析论坛 学习掌握基础的网络方面的知识。
有了一定的基础,对于国产网络分析软件中的战斗机-科来网络分析系统 想要熟练掌握使用应该相当的容易。
PS:可能有人问既然是以广播形式的攻击一开始用科来查不就行了,何必这么麻烦?!
呵呵~只是当时装有科来软件的就只有在包包里睡觉的的本本,我是一边开机一边排查同时进行的!
另一个原因就是我想尽快排除问题机器所在的交换机,隔离小部分机器好让其它多数机器能够正常联网。
[ 本帖最后由 pctemplar 于 2008-10-17 01:37 编辑 ] |
评分
-
2
查看全部评分
-
|
发表于 2008-10-15 21:46:11
