本帖最后由 只是一个神话 于 2010-2-5 13:18 编辑
1、故障描述:
PING外网出现大量TIME OUT,网络中大量丢包,INTERNET访问极不正常,网速很慢,严重影响办公学习。
2、网络拓扑:
代理服务器为双网卡,外网IP为公网IP,内网IP为192.168.2.1/16,通过SINFOR NAT软件实现共享上网,内网卡直连主交换机,主交换机上连着一号楼的所有PC机,主交换机通过网线到二号楼交换机。一号楼、二号楼所有PC机为同一广播域中。网络为最简单的网络,无任何VLAN,无ACL,无防火墙。
3、初步判断:
单位大概200台机器,通过服务器共享上网,所以可以在代理服务器上抓包。
发现接受流量很大、会话很多,一般来说是有人在下载东西或是病毒攻击造成的或是有人恶意攻击。
4、具体情况分析:
(1)、在诊断中出现过多的TCP连接被复位、TCP重传数据包和TCP太多重传,说明网络极不稳定,见下图:
(2)、继续往下看“端点”一栏,发现本地主机中有一台IP为192.168.2.134的机器不正常,流量过大,大概4分钟左右的时间,流量达到213MB,每秒位达到9Mbps,而且基本上为接受数据包,接收数据包达到了27万多,发送包为0是因为当时抓包的部署问题,其它IP也存在这个现象,不过比134这台机器要好很多,如图:
(3)、为了更多的了解信息,我们继续看“协议”一栏,发现UDP-OTHER的协议的流量最大,还有BT,PPLIVE,电驴等下载软件,如图:
(4)、现在基本断定为BT下载引起的,继续看“会话”一栏,发现很多外网IP都向地址为:192.168.2.134的7101端口机器发包。如图:
(5)、看矩阵,为了更好更直观的查看矩阵图,在左边的“节点浏览器”中选择IP为192.168.2.134,结果发现通讯主机达到了1000,因为当时没修改设置,所以实际可能超过1000个,接收数据包达到了26万个。如图:
(6)、“数据包”一栏,发包的密集度很大,间隔很小。目标地址、端口都相同。如图:
(7)、“日志”一栏,本例无需分析。
(8)、“图表”一栏,这个也能发现当前网络的相关信息,包括利用率之类的。如图:
(9)、“报表”一栏,这项很有用,查看概要统计,如图:
很清楚的可以看到流量,数据包,利用率,平均流量等信息。
查看“协议统计”,如图:
这些都能明显的看出网络中存在的问题。
查看“流量最大的本地IP”,如图:
134机器非常明显的异常。
5、故障排除
查看完相关信息后就得进行排错了,目标重点针对IP为192.168.2.134这台机器,当时具体排查是该单位网管去查的,所以具体情况我也不清楚,后来他回来说把134的网断了,再测试网络就基本恢复正常了,PING正常,上网也正常,但是抓包显示还有类似情况存在。
6、小结
和几位朋友讨论后这起故障定性为BT下载而非攻击引起的,主要从协议,端点,矩阵,数据包方面入手,如图:
7、建议
像这种规模的单位一定要在外部配置防火墙,最起码也得有个软件的防火墙,或企业级的路由器。不然一旦出现类似情况,将严重影响单位内部员工的工作。
PS:感谢徐徐渐进、孤独的意志者、SE7EN等几位朋友的帮助! |
发表于 2010-2-3 23:51:03
发表于 2010-2-4 09:09:57
发表于 2010-2-4 09:19:38
