[原创][案例分析]－某中学网络故障诊断

KelvinFu · 发表于 2006-9-27 10:06:46

案例分析－某中学网络故障诊断

PDF下载

案例分析－某中学网络故障诊断.pdf (245.84 KB, 下载次数: 198)

一、故障描述

故障地点：江苏省某中学校园网

故障现象：

严重网络阻塞，客户机之间相互ping时严重丢包，校园网用户访问互联网的速度非常慢，甚至不能访问。

故障详细描述：

整个校园网突然出现网络通讯中断，内部用户均不能正常访问互联网，在机房中进行ping包测试时发现，中心机房客户机对中心交换机管理地址的ping包响应时间较长且出现随机性丢包，主机房客户机对二级交换机通讯的通讯丢包情况更加严重。

二、故障详细分析

1. 前期分析

初步判断引起问题的原因可能是：

交换机ARP表更新问题
广播或路由环路故障
病毒攻击

需要进一步获取的信息：

ARP信息
交换机负载
网络中传输的原始数据包

2.  故障具体分析排查

开始实际具体排查工作：

1.  在主机房的客户机和以下的客户机上分别使用“arp –a”命令查看ARP缓存信息，结果正常；
2.  登录中心交换机查看各端口的流量，由于交换机反应速度较慢，操作超时，无法获得负载的实际流量；
3.  使用科来网络分析系统5.0捕获并分析网络中传输的数据包，具体过程如下。

在中心交换机上做好端口镜像配置操作，并将分析用笔记本接到此端口上，启动科来网络分析系统5.0捕获分析网络的数据通讯，约2.5分钟后停止捕获并分析捕获到的数据包。

XX中学校园网的主机约为1000台，一般情况下，同时在线的有600台左右。在停止捕获后，我们在科来网络分析系统5.0主界面左边的节点浏览器中发现，内部网络（Private-Use Networks）同时在线的IP主机达到了6515台，如图1，这表示网络存在许多伪造的IP主机，网络中可能存在伪造IP地址攻击或自动扫描攻击。

选择连接视图，发现在约2.5分钟的时间内网络中共发起了3027个连接，且状态大多都是客户端请求同步，即三次握手的第一步，由TCP工作原理可知，TCP工作时首先通过三次握手发起连接，如果请求端向不存在的目的端发起了同步请求，由于不会收到目的端主机的确认回复，其状态将会一直处于请求同步直到超时断开，据此，我们现在更加断定校园网中存在自动扫描攻击。
详细查看图1的连接信息，发现这些连接大多都是由192.168.5.119主机发起，即连接的源地址是192.168.5.119。选中源地址是192.168.5.119的任意一个连接，单击鼠标右键，在弹出的右键菜单中选择“定位浏览器节点>>端点1 IP”，这时节点浏览器将自动定位到192.168.5.119主机。
网络中的TCP连接信息1.gif

（图1 网络中的TCP连接信息）

选择图表视图，并选中TCP连接子视图项，查看192.168.5.119主机的TCP连接情况，如图2所示。查看图2可知，192.168.5.119这台主机在约2.5分钟的时间内发起了2800个连接，且其中有2793个连接都是初始化连接，即同步连接，这表示192.168.5.119主机肯定存在自动扫描攻击。
192.168.2.119主机的TCP连接信息2.gif

（图2　192.168.2.119主机的TCP连接信息）

选择数据包视图查看192.168.5.119传输数据的原始解码信息，如图3。从图3可知，这些数据包的大小都是66字节，协议都是CIFS，源地址都是192.168.5.119，而目标地址则随机产生，目标端口都是445，且数据包的TCP标记位都将同步位置1，这说明192.168.5.119这台机器正在主动对网络中主机的TCP 445端口进行扫描攻击，原因可能是192.168.5.119主机感染病毒程序，或者是人为使用扫描软件进行攻击。
192.168.2.119主机的数据包解码信息3.gif

（图3　192.168.2.119主机的数据包解码信息）

找到问题的根源后，正准备对192.168.5.119主机进行隔离，这时因其它事情中断分析工作约10分钟左右。
继续工作，隔离192.168.5.119主机的同时再次将启动科来网络分析系统5.0捕获分析网络的数据通讯，约2.5分钟后停止捕获并分析捕获到的数据包。
分析捕获到的数据包，网络中又出现了3台与192.168.5.119相似情况的主机，且这些主机发起的同步连接数都大大超过192.168.5.119，图4所示的即是其中一台主机在约2.5分钟内的发起的连接数，其中同步连接达到了6431个。
通过这个情况，我们可以肯定192.168.5.119和新发现的三台主机都是感染了病毒，且该病毒会主动扫描网络中其它主机是否打开TCP 445端口，如果某主机打开该端口，就攻击并感染这台主机。如此循环，即引发了上述的网络故障。
192.168.4.34主机的TCP连接信息4.gif

（图4　192.168.4.34主机的TCP连接信息）

网管人员立即对新发现感染病毒的3台主机进行隔离，ping测试响应时间立刻变为1ms，网络通讯立刻恢复正常。
在分析中，我们还发现，192.168.101.57主机占用的流量较大，其通讯数据包的源端和目的端都使用UDP 6020端口，且与192.168.101.57通信的地址227.1.2.7是一个组播IP地址，签于此，我们推测192.168.101.57可能在使用在线视频点播之类的应用，并因此对网络资源造成了一定程度的耗费，其通讯数据包如图5所示。对于这种情况，网管人员也应对其进行检查，确定其合法性，以避免网络带宽被一些非关键业务所耗费。
192.168.101.57主机的通讯数据包信息5.gif

（图5　192.168.101.57主机的通讯数据包信息）

在第一次和第二次捕获之间，相隔仅10分钟的时间，网络中就被新感染主机三台。由此我们可以想象，如果不使用网络检测分析软件捕获分析网络中传输的数据包，仅通过查看交换机的端口流量，或者使用单纯的流量软件，将很难找到问题的根源，这样网络中感染的主机会越来越多，最终将导致整个网络的全部瘫痪。

以上便是笔者使用科来网络分析系统5.0诊断该校园网故障的全过程，在网络出现速度慢、时断时续、不能访问时，网管人员均可使用这种方法对故障进行诊断排查。

                                                                                                                                                      CSNA网络分析论坛
                                                                                                                                                            KelvinFu
                                                                                                                                                            2006-09-27

[ 本帖最后由 KelvinFu 于 2006-9-27 10:17 编辑 ]

无影战士 · 发表于 2006-9-27 21:51:19

讲解的巴错,收下喽.

zzgpitt · 发表于 2006-9-28 04:30:39

兄弟说的好，我狂支持你向你多学习

ilike · 发表于 2006-9-28 11:09:48

谢谢,学习中...................

幽魂倦客 · 发表于 2006-9-28 11:58:52

９４９４的确不错
学习ＩＮＧ！～

hcwswdj · 发表于 2006-9-28 23:42:29

感谢科来提供的产品不错，不过其他国产的我也没用过，我也发个arp图大家评论一下状况吧

qq87825152 · 发表于 2006-11-21 11:38:12

顶，做人要厚道！

wenzidawenzi · 发表于 2006-11-27 18:27:17

好！顶！，要好好学习学习啊！

wastebaby · 发表于 2006-12-13 11:23:11

有些还是看不懂。。。。。

北乔峰 · 发表于 2006-12-27 15:12:36

谢谢。收藏以后学学

libin125_0 · 发表于 2006-12-28 11:53:45

呵呵……不错~~~
顶一个，谢谢分享~~

harker · 发表于 2007-1-19 00:28:33

顶啊。。。希望以后多谢如此的帖子。

haoqiang18 · 发表于 2007-2-17 13:31:43

不错,谢谢楼主,学习中!!!!

robur · 发表于 2007-2-18 19:02:45

嗯，学习了。
其实每次毛病都差不多，正所谓“无病不死人”……

abitggmm · 发表于 2007-2-19 09:41:50

思路清晰，偶向大虾学习了

saojun · 发表于 2007-3-13 17:36:47

谢谢楼主您辛苦了...

hopehands · 发表于 2007-4-16 22:05:25

顶一个。。很好的东西

azngb · 发表于 2007-4-24 11:11:27

感谢楼住

tpstar · 发表于 2007-4-24 14:44:10

这种病毒,我有一次也碰到过.呵呵,整个全网出故障!!!

[原创][案例分析]－某中学网络故障诊断

９４９４的确不错

手下了