網(wǎng)絡中出現(xiàn)速度慢、時斷時續(xù)、不能訪問的網(wǎng)絡故障應該是管理員們經(jīng)常遇到的，我認為掌握并利用網(wǎng)絡分析軟件往往能夠化難為易，幫助管理者快速準確定位故障，從而盡快解決故障
一、網(wǎng)絡故障描述
我校的局域網(wǎng)出現(xiàn)了異常，具體表現(xiàn)為：客戶機之間相互ping時嚴重丟包，校園網(wǎng)用戶訪問互聯(lián)網(wǎng)的速度非常慢，甚至不能訪問。整個校園網(wǎng)突然出現(xiàn)網(wǎng)絡通訊中斷，內(nèi)部用戶均不能正常訪問互聯(lián)網(wǎng)。
二、故障初步分析
初步判斷可能是，交換機ARP表更新問題，廣播或路由環(huán)路故障，病毒攻擊等引起的。因此，需要進一步獲取ARP信息、交換機負載、網(wǎng)絡中傳輸?shù)脑�始�?shù)據(jù)包等信息。
首先，在該校的機房的客戶機和其下的客戶機上分別使用“arp–a”命令查看ARP緩存信息，結果正常。
三、層層深入排除故障
在分析受阻后，決定應用“科來網(wǎng)絡分析系統(tǒng)”捕獲并分析網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包，進行網(wǎng)絡故障的排查。下面介紹一下排查過程：
1.配置抓包
在中心交換機上做好端口鏡像配置操作，并將分析用筆記本接到此端口上，啟動科來網(wǎng)絡分析系統(tǒng)6.0捕獲分析網(wǎng)絡的數(shù)據(jù)通訊，約2.5分鐘后停止捕獲并分析捕獲到的數(shù)據(jù)包。
2.查看連接定位攻擊源
我校校園網(wǎng)的主機約為200臺，一般情況下，同時在線的有50臺左右。在停止捕獲后，筆者在科來網(wǎng)絡分析系統(tǒng)主界面左邊的節(jié)點瀏覽器中發(fā)現(xiàn)，內(nèi)網(wǎng)同時在線的IP主機達到了515臺，這表示網(wǎng)絡存在許多偽造的IP主機，網(wǎng)絡中可能存在偽造IP地址攻擊或自動掃描攻擊。選擇連接視圖，發(fā)現(xiàn)在約2.5分鐘的時間內(nèi)網(wǎng)絡中共發(fā)起了827個連接，且狀態(tài)大多都是客戶端請求同步，即三次握手的第一步，由TCP工作原理可知，TCP工作時首先通過三次握手發(fā)起連接，如果請求端向不存在的目的端發(fā)起了同步請求，由于不會收到目的端主機的確認回復，其狀態(tài)將會一直處于請求同步直到超時斷開。據(jù)此，我們現(xiàn)在更加斷定校園網(wǎng)中存在自動掃描攻擊。
選擇圖表視圖，并選中TCP連接子視圖項，查看192.168.5.119主機的TCP連接情況，發(fā)現(xiàn)92.168.5.119這臺主機在約2.5分鐘的時間內(nèi)發(fā)起了300個連接，且其中有193個連接都是初始化連接，即同步連接，這表示192.168.5.119主機肯定存在自動掃描攻擊。
3.通過協(xié)議確定攻擊方式
選擇數(shù)據(jù)包視圖查看192.168.5.119傳輸數(shù)據(jù)的原始解碼信息，這些數(shù)據(jù)包的大小都是66字節(jié)，協(xié)議都是CIFS，源地址都是192.168.5.119，而目標地址則隨機產(chǎn)生，目標端口都是445，且數(shù)據(jù)包的TCP標記位都將同步位置1，這說明192.168.5.119這臺機器正在主動對網(wǎng)絡中主機的TCP445端口進行掃描攻擊，原因可能是192.168.5.119主機感染病毒程序，或者是人為使用掃描軟件進行攻擊。
找到問題的根源后，正準備對192.168.5.119主機進行隔離，這時因其它事情中斷分析工作約10分鐘左右。繼續(xù)工作，隔離192.168.5.119主機的同時再次將啟動科來網(wǎng)絡分析系統(tǒng)6.0捕獲分析網(wǎng)絡的數(shù)據(jù)通訊，約2.5分鐘后停止捕獲并分析捕獲到的數(shù)據(jù)包。
分析捕獲到的數(shù)據(jù)包，網(wǎng)絡中又出現(xiàn)了3臺與192.168.5.119相似情況的主機，且這些主機發(fā)起的同步連接數(shù)都大大超過192.168.5.119，即是其中一臺主機在約2.5分鐘內(nèi)的發(fā)起的連接數(shù)，其中同步連接達到了431個。
通過這個情況，我們可以肯定192.168.5.119和新發(fā)現(xiàn)的三臺主機都是感染了病毒，且該病毒會主動掃描網(wǎng)絡中其它主機是否打開TCP445端口，如果某主機打開該端口，就攻擊并感染這臺主機。如此循環(huán)，即引發(fā)了上述的網(wǎng)絡故障。
4.隔離殺毒解除故障
立即對新發(fā)現(xiàn)感染病毒的3臺主機進行隔離，ping測試響應時間立刻變?yōu)?ms，網(wǎng)絡通訊立刻恢復正常。
5.補充說明
需要說明的是，在解決該網(wǎng)絡故障的過程中進行了兩次抓包，這兩次抓包相隔僅10分鐘的時間，通過對數(shù)據(jù)包的分析發(fā)現(xiàn)網(wǎng)絡中就被新感染主機。
由此我們可以想象，不使用網(wǎng)絡檢測分析軟件捕獲分析網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包，僅通過查看交換機的端口流量，或者使用單純的流量軟件，很難找到問題的根源，這樣網(wǎng)絡中感染病毒的主機會越來越多，最終將導致整個網(wǎng)絡的全部癱瘓。

搜論文知識網(wǎng)致力于為需要刊登論文的人士提供相關服務,提供迅速快捷的論文發(fā)表、寫作指導等服務。具體發(fā)表流程為：客戶咨詢→確定合作，客戶支付定金→文章發(fā)送并發(fā)表→客戶接收錄用通知，支付余款→雜志出版并寄送客戶→客戶確認收到。鳴網(wǎng)系學術網(wǎng)站，對所投稿件無稿酬支付，謝絕非學術類稿件的投遞！