ping不通、網(wǎng)速慢、時(shí)斷時(shí)續(xù)……類(lèi)似這樣的局域網(wǎng)故障網(wǎng)管人員應(yīng)該屢見(jiàn)不鮮了。那么，大家是如何來(lái)解決這些故障的呢?如何做到快速、準(zhǔn)確呢?最近，筆者就經(jīng)歷一起這樣的網(wǎng)絡(luò)故障。下面，筆者把相關(guān)的過(guò)程寫(xiě)下來(lái)，希望對(duì)大家有所幫助。

一、網(wǎng)絡(luò)故障描述

筆者本地某中學(xué)的局域網(wǎng)出現(xiàn)了異常，具體癥狀為：網(wǎng)絡(luò)嚴(yán)重阻塞，客戶(hù)機(jī)之間相互ping時(shí)嚴(yán)重丟包，校園網(wǎng)用戶(hù)訪問(wèn)互聯(lián)網(wǎng)的速度非常慢，甚至不能訪問(wèn)。整個(gè)校園網(wǎng)突然出現(xiàn)網(wǎng)絡(luò)通訊中斷，內(nèi)部用戶(hù)均不能正常訪問(wèn)互聯(lián)網(wǎng)，在機(jī)房中進(jìn)行ping包測(cè)試時(shí)發(fā)現(xiàn)，中心機(jī)房客戶(hù)機(jī)對(duì)中心交換機(jī)管理地址的ping包響應(yīng)時(shí)間較長(zhǎng)且出現(xiàn)隨機(jī)性丟包，主機(jī)房客戶(hù)機(jī)對(duì)二級(jí)交換機(jī)通訊的通訊丟包情況更加嚴(yán)重。

二、故障初步分析

筆者初步判斷可能是，交換機(jī)ARP表更新問(wèn)題，廣播或路由環(huán)路故障，病毒攻擊等引起的。為此，需要進(jìn)一步獲取ARP信息、交換機(jī)負(fù)載、網(wǎng)絡(luò)中傳輸?shù)脑紨?shù)據(jù)包等信息。

首先，筆者在該校的主機(jī)房的客戶(hù)機(jī)和其下的客戶(hù)機(jī)上分別使用“arp –a”命令查看ARP緩存信息，結(jié)果正常。然后，登錄中心交換機(jī)查看各端口的流量，由于交換機(jī)反應(yīng)速度較慢，操作超時(shí)，無(wú)法獲得負(fù)載的實(shí)際流量。

三、層層深入 排除故障

初步分析受阻，于是筆者決定應(yīng)用“科來(lái)網(wǎng)絡(luò)分析分析”工具捕獲并分析網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包，進(jìn)行網(wǎng)絡(luò)故障的排查。下面筆者詳述具體的排查過(guò)程：

1.配置抓包

在中心交換機(jī)上做好端口鏡像配置操作，并將分析用筆記本接到此端口上，啟動(dòng)科來(lái)網(wǎng)絡(luò)分析系統(tǒng)5.0捕獲分析網(wǎng)絡(luò)的數(shù)據(jù)通訊，約2.5分鐘后停止捕獲并分析捕獲到的數(shù)據(jù)包。

2.查看連接 定位攻擊源

該中學(xué)校園網(wǎng)的主機(jī)約為1000臺(tái)，一般情況下，同時(shí)在線的有600臺(tái)左右。在停止捕獲后，筆者在科來(lái)網(wǎng)絡(luò)分析系統(tǒng)主界面左邊的節(jié)點(diǎn)瀏覽器中發(fā)現(xiàn)，內(nèi)部網(wǎng)絡(luò)(Private-Use Networks)同時(shí)在線的IP主機(jī)達(dá)到了6515臺(tái)，如圖1，這表示網(wǎng)絡(luò)存在許多偽造的IP主機(jī)，網(wǎng)絡(luò)中可能存在偽造IP地址攻擊或自動(dòng)掃描攻擊。選擇連接視圖，發(fā)現(xiàn)在約2.5分鐘的時(shí)間內(nèi)網(wǎng)絡(luò)中共發(fā)起了3027個(gè)連接，且狀態(tài)大多都是客戶(hù)端請(qǐng)求同步，即三次握手的第一步，由TCP工作原理可知，TCP工作時(shí)首先通過(guò)三次握手發(fā)起連接，如果請(qǐng)求端向不存在的目的端發(fā)起了同步請(qǐng)求，由于不會(huì)收到目的端主機(jī)的確認(rèn)回復(fù)，其狀態(tài)將會(huì)一直處于請(qǐng)求同步直到超時(shí)斷開(kāi)，據(jù)此，我們現(xiàn)在更加斷定校園網(wǎng)中存在自動(dòng)掃描攻擊。(如圖1所示)

圖1 在線主機(jī)結(jié)果顯示

詳細(xì)查看圖1的連接信息，發(fā)現(xiàn)這些連接大多都是由192.168.5.119主機(jī)發(fā)起，即連接的源地址是192.168.5.119。選中源地址是192.168.5.119的任意一個(gè)連接，單擊鼠標(biāo)右鍵，在彈出的右鍵菜單中選擇“定位瀏覽器節(jié)點(diǎn)→端點(diǎn)1 IP”，這時(shí)節(jié)點(diǎn)瀏覽器將自動(dòng)定位到192.168.5.119主機(jī)。

選擇圖表視圖，并選中TCP連接子視圖項(xiàng)，查看192.168.5.119主機(jī)的TCP連接情況，如圖2所示。查看圖2可知，192.168.5.119這臺(tái)主機(jī)在約2.5分鐘的時(shí)間內(nèi)發(fā)起了2800個(gè)連接，且其中有2793個(gè)連接都是初始化連接，即同步連接，這表示192.168.5.119主機(jī)肯定存在自動(dòng)掃描攻擊。(如圖2所示)

圖2 短時(shí)間內(nèi)網(wǎng)絡(luò)內(nèi)的同步連接數(shù)#p#

3.通過(guò)協(xié)議 確定攻擊方式

選擇數(shù)據(jù)包視圖查看192.168.5.119傳輸數(shù)據(jù)的原始解碼信息，如圖3。從圖3可知，這些數(shù)據(jù)包的大小都是66字節(jié)，協(xié)議都是CIFS，源地址都是192.168.5.119，而目標(biāo)地址則隨機(jī)產(chǎn)生，目標(biāo)端口都是445，且數(shù)據(jù)包的TCP標(biāo)記位都將同步位置1，這說(shuō)明192.168.5.119這臺(tái)機(jī)器正在主動(dòng)對(duì)網(wǎng)絡(luò)中主機(jī)的TCP 445端口進(jìn)行掃描攻擊，原因可能是192.168.5.119主機(jī)感染病毒程序，或者是人為使用掃描軟件進(jìn)行攻擊。(如圖3所示)

圖3 協(xié)議和數(shù)據(jù)包顯示

找到問(wèn)題的根源后，正準(zhǔn)備對(duì)192.168.5.119主機(jī)進(jìn)行隔離，這時(shí)因其它事情中斷分析工作約10分鐘左右。繼續(xù)工作，隔離192.168.5.119主機(jī)的同時(shí)再次將啟動(dòng)科來(lái)網(wǎng)絡(luò)分析系統(tǒng)5.0捕獲分析網(wǎng)絡(luò)的數(shù)據(jù)通訊，約2.5分鐘后停止捕獲并分析捕獲到的數(shù)據(jù)包。

分析捕獲到的數(shù)據(jù)包，網(wǎng)絡(luò)中又出現(xiàn)了3臺(tái)與192.168.5.119相似情況的主機(jī)，且這些主機(jī)發(fā)起的同步連接數(shù)都大大超過(guò)192.168.5.119，圖4所示的即是其中一臺(tái)主機(jī)在約2.5分鐘內(nèi)的發(fā)起的連接數(shù)，其中同步連接達(dá)到了6431個(gè)。

通過(guò)這個(gè)情況，我們可以肯定192.168.5.119和新發(fā)現(xiàn)的三臺(tái)主機(jī)都是感染了病毒，且該病毒會(huì)主動(dòng)掃描網(wǎng)絡(luò)中其它主機(jī)是否打開(kāi)TCP 445端口，如果某主機(jī)打開(kāi)該端口，就攻擊并感染這臺(tái)主機(jī)。如此循環(huán)，即引發(fā)了上述的網(wǎng)絡(luò)故障。(如圖4所示)

圖4 找到可疑主機(jī)

4.隔離殺毒 解除故障

網(wǎng)管人員立即對(duì)新發(fā)現(xiàn)感染病毒的3臺(tái)主機(jī)進(jìn)行隔離，ping測(cè)試響應(yīng)時(shí)間立刻變?yōu)?ms，網(wǎng)絡(luò)通訊立刻恢復(fù)正常。

在分析中，筆者還發(fā)現(xiàn)，192.168.101.57主機(jī)占用的流量較大，其通訊數(shù)據(jù)包的源端和目的端都使用UDP 6020端口，且與192.168.101.57通信的地址227.1.2.7是一個(gè)組播IP地址，簽于此，我們推測(cè)192.168.101.57可能在使用在線視頻點(diǎn)播之類(lèi)的應(yīng)用，并因此對(duì)網(wǎng)絡(luò)資源造成了一定程度的耗費(fèi)，其通訊數(shù)據(jù)包如圖5所示。對(duì)于這種情況，網(wǎng)管人員也應(yīng)對(duì)其進(jìn)行檢查，確定其合法性，以避免網(wǎng)絡(luò)帶寬被一些非關(guān)鍵業(yè)務(wù)所耗費(fèi)。(如圖5所示)

圖5 查到可疑的在線應(yīng)用

5.補(bǔ)充說(shuō)明

需要說(shuō)明的是，筆者在解決該網(wǎng)絡(luò)故障的過(guò)程中進(jìn)行了兩次抓包，這兩次抓包相隔僅10分鐘的時(shí)間，通過(guò)對(duì)數(shù)據(jù)包的分析發(fā)現(xiàn)網(wǎng)絡(luò)中就被新感染主機(jī)三臺(tái)。

由此我們可以想象，如果不使用網(wǎng)絡(luò)檢測(cè)分析軟件捕獲分析網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包，僅通過(guò)查看交換機(jī)的端口流量，或者使用單純的流量軟件，將很難找到問(wèn)題的根源，這樣網(wǎng)絡(luò)中感染的主機(jī)會(huì)越來(lái)越多，最終將導(dǎo)致整個(gè)網(wǎng)絡(luò)的全部癱瘓。

四、總結(jié)

以上便是筆者診斷并排除該校園網(wǎng)故障的全過(guò)程，類(lèi)似這種在網(wǎng)絡(luò)出現(xiàn)速度慢、時(shí)斷時(shí)續(xù)、不能訪問(wèn)的網(wǎng)絡(luò)故障應(yīng)該是管理員們經(jīng)常遇到的，希望筆者的這個(gè)故障排除案例對(duì)于大家解決類(lèi)似的網(wǎng)站故障有所幫助。另外，筆者認(rèn)為掌握并利用網(wǎng)絡(luò)分析軟件(類(lèi)似的軟件很多)往往能夠化難為易，幫助管理預(yù)案快速準(zhǔn)確定位故障，從而盡快解決故障。

【編輯推薦】

1. 專(zhuān)題：網(wǎng)絡(luò)故障排除寶典
2. 校園網(wǎng)常見(jiàn)路由器故障維護(hù)方法