|
|
国庆期间,下午,在某电力分公司上班的朋友打电话过来说单位网络性能急速下降,系统反应缓慢,已经严重影响到公司的正常运作了,让我快过去救命。
带上本本,火速赶到现场,看到朋友正在机房里查看交换机配置,忙得满头是汗。朋友见我在这么短的时间内出现,大是感动。他赶快给我说明了网络环境,大致如下:中心交换机为cisco的2950,上面划分有vlan。然后再分别接入各个部门,终端大概有80台左右。看来网络结构比较简单。
接上我的电脑,打开google居然花了差不多10秒钟,ping网关或外网返回的值都比较大,还有掉包的现象出现。看来网络运行质量和性能都比较差。
在2950上做好镜像,接入我的本本,打开科来网络分析软件,捕获了10多分钟,发现网络中存在arp欺骗,扫描攻击,在线观看和主机配置不当等网络故障。找到原因,问题就迎刃而解了,该断网的断网,该杀毒的杀毒。忙活到晚上7点钟,终于搞定了问题。
下面将具体的排查过程与大家分享,欢迎指正。
1)ARP欺骗
可疑主机:00:E0:4C:8B:61:CA 00:E0:4C:8B:61:CA
诊断步骤:在节点浏览器中选择按协议浏览,选择“ARP”,发现网络中的ARP请求和ARP
应答的数据包存在很大的差异,根据ARP的工作原理,推测网络中存在ARP扫描。如图:
然后我们点“诊断”视图,系统提示网络中存在太多的ARP无请求应答。如下图:
原因分析:网络中存在主机使用ARP欺骗软件或中了ARP病毒,在对网络的其它
主机或网关进行欺骗。
影响:消耗网络带宽和资源,造成网络性能下降,严重时可能大面积断网。
采用措施:将00:E0:4C:8B:61:CA等可疑主机隔离并检查。
2)扫描攻击
可疑主机:202.100.109.18 202.100.216.18 202.100.108.204 02.100.108.18等
诊断步骤:选中节点浏览器的根节点,点击右边的“诊断”视图,发现有较多的TCP重
复的连接尝试。在10多分钟达到了8680次,很不正常。如图:
从图中我们看到这些可疑主机都试图与202.98.108.18等主机建立连接。我们
定位到202.100.109.18主机,查看其会话视图:
从图中看到202.100.109.18这台主机不停的通过各种端口试图连接
202.100.108.18。但是我们通过数据解码又知道这些请求都被拒绝了。
由此我们推断出202.100.109.18等主机在对202.100.108.18在不停发出
连接请求,以获取某种操作权限。由于发起连接的多是Internet地
址。我们推断202.100.108.18这台主机被网络攻击。
原因分析:网络主机被攻击。
影响:影响网络带宽和性能。
采用措施:检查可疑主机。
3)主机配置不当
可疑主机:202.100.108.31 202.100.108.205
诊断步骤:选中节点浏览器根节点。单击“诊断”视图,发现网络层出现2956个网络
重定向数据包。如图:
根据网络重定向的相关知识,我们推测源主机202.100.108.30这台主机的配置可能有问题。
原因分析:主机配置有问题。
影响:不停的发包,增加网络负担。
采用措施:重新配置可疑主机。
4)非业务流量影响正常带宽
可疑主机:202.100.108.32 202.100.108.81
诊断步骤:选中节点浏览器的根节点。选择按协议浏览,单击协议视图,发现网络中
RTSP协议占用了很大的网络流量。如图:
RTSP协议是流媒体协议。专门用来在线播放音视频的。从图上我们看到该
协议已占总网络流量的近17%。显然这是不正常的。
原因分析:员工在线观看电影等。
影响:大量占用网络带宽,影响正常的工作进度。
采用措施:对可疑主机断网或者让其停止在线观看。
5)个别主机流量异常
可疑主机:图中红色圈住部份。
诊断步骤:选中节点浏览器,“IP端点浏览->私有网络”。点击右边“端点”视图。如图:
原因分析:部份主机下载或相互传送文件。
影响:部份主机占用网络绝大部份带宽,影响网络的正常运行。
采用措施:对可疑主机进得定点排查。
Xwy3260
CSNA论坛 2007-10-9
[ 本帖最后由 xwy3260 于 2007-10-9 13:47 编辑 ] |
|
发表于 2007-10-9 13:37:42
发表于 2007-10-9 13:58:01
