【51CTO.com 綜合報道】故障描述

故障地點：

河南省許昌某網吧

網絡環境：

網吧大概有200臺電腦，采用雙WAN出口（電信和網通）訪問互聯網，網絡結構較為簡單，外網   路由器   主交換機   二層交換機   客戶端。

故障詳細描述：

同時接上兩個外網出口時，整個網絡訪問通訊出現異常，網絡速度異常緩慢，很多用戶甚至不能上網，在客戶端進行ping包測試時發現，本地客戶端嚴重丟包，斷開網通的外網出口，網絡卻又恢復正常，ping包測試也無異常。

故障分析

由于在斷開網通的線路后，網絡訪問正常，初步懷疑是網通線路問題，于是用筆記本單獨接網通線路測試，一切正常，所以首先排除了網通線路的問題。在排除線路問題后，我們將問題重點放在了內網主機檢查上。由于網絡速度緩慢并且出現斷網的情況，所以懷疑網絡中有主機感染ARP或其他蠕蟲病毒攻擊導致網絡癱瘓，于是決定用科來網絡分析系統抓包分析，在中心交換機上做好端口鏡像，在筆記本上安裝科來網絡分析系統，將筆記本接到中心交換機的端口上，啟動科來網絡分析系統開始捕獲數據，約6分鐘后停止捕獲并分析捕獲到的數據包。

我們首先了解網絡的整體運行狀態，在概要統計視圖中可以看到：網絡的總共流量為1.828GB，而利用率則達到了近80％，這是網絡緩慢的一個重要指示參數。我們再看TCP的參數信息，此處，TCP的同步數據包與結束連接數據包分別是17796和9963個，由TCP的工作原理我們知道，TCP在工作時首先會通過三次握手建立連接，數據傳輸完成后，必須關閉連接，在建立握手的時候，會產生2個同步數據包，而關閉連接的時候，也會產生2個同步數據包，所以，理論情況下，1個TCP連接的同步數據包與結束連接數據包應該大致相等，如果二者的數據包相差較大，說明當前的網絡傳輸不正常。如圖1。 

圖1

選擇端點視圖，我們發現，IP地址為192.168.1.2這臺主機的網絡連接數較多，并且流量也比較大，所以，我們定位這個IP，單獨對其分析。

在節點瀏覽器中選擇192.168.1.2，打開矩陣連接視圖，我們看到，該主機的通訊主機數達到了1000個，并且很大一部分為單向流量，如圖2。 

圖2

打開圖表視圖，我們查看該主機的TCP連接情況。從中可以看到，該主機的TCP同步數據包、結束連接數據包以及復位數據包的比例，如圖3。 

圖3

打開會話視圖，查看該主機的TCP會話情況，如圖4。 

圖4

在該主機的TCP通訊中，我們可以看到：該主機嘗試通過不同的端口試圖與其他IP建立連接，發送的數據包大小均為246B，但是，并沒有收到目標主機的任何回應數據包，這說明，其發送的同步數據包被目標主機復位終止了連接或目標主機均為異常的IP地址，是該主機感染病毒后隨機向其他主機發送同步連接數據包以試圖感染其他主機。所以，綜合以上的判斷，我們確定，192.168.1.2這個主機感染蠕蟲病毒，正在發送大量的數據包進行掃描以試圖感染其他主機。

通過類似的方法，我們發現：192.168.1.94這個IP也存在同樣的行為，不過，掃描方法由TCP掃描變為了UDP掃描，目標主機也基本是內網IP，并且，其發包的頻率也非常快，1秒左右的時間就會發起10個同樣的數據包，以試圖攻擊或感染其他主機，對網絡帶寬的耗費是非常嚴重的。如圖5和圖6。 

圖5

圖6

其次，通過UDP會話，我們還發現，IP地址為192.168.1.13的這個主機也存在異常情況，該主機基本全是接收的數據包并沒有發送數據包，外網IP不斷嘗試連接該主機的3325端口，這就說明，該主機感染了木馬病毒或正在被攻擊。如圖7。

圖7

綜合以上分析，我們對192.168.1.2、192.168.1.94以及192.168.1.13進行了斷網隔離，再同時接上電信以及網通雙出口，網絡未發現異常；同時，對這3臺主機進行檢查，發現192.168.1.2與192.168.1.94感染病毒，而192.168.1.13則被植入木馬，從而導致網絡幾近癱瘓。至此，通過科來網絡分析系統對網絡通訊的分析，網絡故障全面排除。