某電業(yè)局網(wǎng)絡(luò)故障診斷案例分析報(bào)告

1、案例分析-某電業(yè)局網(wǎng)絡(luò)故障診斷一、故障描述故障地點(diǎn)：某電業(yè)局故障現(xiàn)象：網(wǎng)絡(luò)嚴(yán)重阻塞，內(nèi)部主機(jī)上網(wǎng)甚至內(nèi)部主機(jī)間的通訊均時(shí)斷時(shí)續(xù)。故障詳細(xì)描述：網(wǎng)絡(luò)突然出現(xiàn)通訊中斷，某些VLAN能訪問互聯(lián)網(wǎng)，且與其它VLAN的訪問也會(huì)出現(xiàn)中斷，在機(jī)房中進(jìn)行ping包測(cè)試，發(fā)現(xiàn)中心交換機(jī)到該VLAN內(nèi)主機(jī)的ping包響應(yīng)時(shí)間較長(zhǎng)，且出現(xiàn)間歇性丟包，VLANVLAN間的丟包情況則更加嚴(yán)重。二、故障詳細(xì)分析1 .前期分析初步判斷引起問題的原因可能是：交換機(jī)ARP表更新問題廣播或路由環(huán)路故障人為或病毒攻擊需要進(jìn)一步獲取的信息：網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及正常工作時(shí)的情況交換機(jī)ARP表信息及交換機(jī)負(fù)載情況網(wǎng)絡(luò)中傳輸?shù)脑紨?shù)據(jù)包2 .具

2、體分析首先，我們從網(wǎng)絡(luò)管理員那兒，得知了網(wǎng)絡(luò)中主機(jī)共450臺(tái)左右，同時(shí)得到了網(wǎng)絡(luò)的簡(jiǎn)單拓?fù)鋱D，如圖1所示。10230.204.(X24服外器群（圖1網(wǎng)絡(luò)原始拓?fù)浜?jiǎn)圖）從圖1可以知道，網(wǎng)絡(luò)中劃分了6個(gè)VLAN分另1J是10.230.201.0/24、10.230.202.0/24、10.230.203.0/24、10.230.204.0/24、10.230.205.0/24、10.230.206.0/24、，其中201c205這5個(gè)VLAN分別用于一個(gè)部門，而206為服務(wù)器專用網(wǎng)段。各VLAN同時(shí)連接上中心交換機(jī)（Passport8010）,中心交換機(jī)再連接到防火墻，由防火墻連接到Interne

3、t以及省單位。大致了解了網(wǎng)絡(luò)拓?fù)浜?，我們以超?jí)終端方式登錄中心交換機(jī)，發(fā)現(xiàn)交換機(jī)的負(fù)載較大，立即清除交換機(jī)ARP表并重啟，但故障仍然存在，于是我們決定對(duì)網(wǎng)絡(luò)進(jìn)行抓包分析。在中心交換機(jī)（Passport8010）上配置好端口鏡像（具體配置信息，略），并將安裝科來(lái)網(wǎng)絡(luò)分析系統(tǒng)的筆記本接到中心交換機(jī)的鏡像口上，安裝好后網(wǎng)絡(luò)的拓?fù)浜?jiǎn)圖如圖2所示。10.230.204.a2410230a5a24鼎蘇博群（圖2安裝科來(lái)網(wǎng)絡(luò)分析系統(tǒng)后的網(wǎng)絡(luò)拓?fù)浜?jiǎn)圖）由于科來(lái)網(wǎng)絡(luò)分析系統(tǒng)可以跨VLAN對(duì)數(shù)據(jù)進(jìn)行捕獲分析，所以在中心交換機(jī)上接入安裝科來(lái)網(wǎng)絡(luò)分析系統(tǒng)的筆記本后，網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)并未發(fā)生任何改變。打開筆記本上的科來(lái)網(wǎng)

4、絡(luò)分析系統(tǒng)，捕獲數(shù)據(jù)包約1分鐘（捕獲停止后發(fā)現(xiàn)確切時(shí)間是53秒）后停止捕獲，并對(duì)捕獲到的數(shù)據(jù)通訊進(jìn)行分析。將節(jié)點(diǎn)瀏覽器定位到物理端點(diǎn)下的本地網(wǎng)段，我們發(fā)現(xiàn)MACfe址為00:00:E8:40:44:99的主機(jī)，下面共有40個(gè)IP地址，如圖3。3：uj-科樂科堵燈新城岳止-水堆阿場(chǎng)4巨X真揮叫標(biāo)修因至Sm工理舊工具叫snno利助a由在打開用后isjfi時(shí)匕開的指夏聯(lián)量更配薄ii3聞黜e疊m志避專法斷出詈宅子哀堂襤器霹讀鹿；平X糊苴事計(jì)修好靠卓功兇國(guó)9就搭包日古爾+47a)ADOOhEE:2D:f3EXQ)SmDO.OE.AA：3D!M.4dU)t-Da：3l:l:3Z:CB!：2rd)4矮皿囪恒

5、胥尚匍本隨同國(guó)掂在：134名荷通過(guò)R每出位用絳整A30本電網(wǎng)廢luEse.siz43-urif-i95.flT5r叵EC：DZ：B0K：EB：DZMt=-eb.irzLE9KIKVf-iLD,932+曜劉:如：，4第（4011品iJgElHFE值45:勇T33.7E5ME：=5.7C3a部13t理DUIE-40-3D75(.1)叵mi】K即：THE!2ST.2S2UE：E5S,5434122HLj!Efi,14由*00.00.附虬紙質(zhì)1)+DO:E:IB:40:3FKEQ.)1綺DQ凱琳TECC(1)+厘、肌配機(jī)a.)awDa：BO4U:4E:3&H7Q.)s理眥阻網(wǎng):”:爾.的co+吧00:

6、3.EE:55:1ALB(1)婚IW5U?56O55(1)+jUfOO：OAH：55：5C660J屏LT：騰閶!1GL2D5ME：23也叫，91332Klj-iLB,r1540ULmDOFQTpAEBEi|MW口”MF：40.9.13IES23XbfiEZT&叩B：W：中TTBiCii|23珀EUF：?4,熠444311Tl54品吧加明裝制陶FQ3TTIHF：M,T5T2T陰WiLr01T*THWCE3S55MFi5,：慟口Ml1T5KQ30D溫C3：比f(wàn)-MF;39,239iISKi觀,MJCG：MB840rs的蕾由UR27,減L536JCls136用!NJCO：OE超AL：T3：CB382

7、3ME；s.m0Mu7+DD-Oj.EE:55:SF駁(1)由,m:必口屈:瓶砧也)*必：胎L5.的.51r6LQyf；5,an0皿513麻NalCO.DC.TB弱.5igE；9,MS2t.5KKl型326+吧:EE:弱:熊沔(1)國(guó)婚叩5球55呈弱tl)+期1MmH;55:9DJI口)+jyfDa：OKn：55：EED(1)i4900io班副中/m+好附：瓠機(jī):的:咽na)1K3DO-SO1-63-43Ir(|)vhjnwij.25eaijjijsrr口.那usi工M30Wki0_Bv季G0田國(guó)就，曹，輻闔DMEB：4Di-4H：-99!RSf-3,IBSZT.CEE涮詛目標(biāo)t&iHJt+R

8、SA.14395B7DO!DD:EBi4O!4z9fF:FFFFtTFiFF:FFXF.P4n.l3B.L3E.lg在DDzDDLEa!4D:44!9.143971DO!DDiEBiU!44=990m口山口口1口U.FE410.230.ZO3-39在0!：DajEE:4I!：4：amwstL?：14139175DO:D0=EBi:4C:44:$9DO!.D4jDr：IE:g2-01尸E4ia.230.ZD3.fi2在DQ:DOjEEl4Hi4-1z99敢希坦史詫器14391B5M；O：EB= a.)a.)Q) co o) to a) ti &) 1) a) (i) CD co a) 口) (i

9、) s a) ti)I H - 00: EB. tC: 44:名荷石是量密至理總藐fib：賽委包學(xué)S llifeuirMl II況用6inn.nm3OD.DC031日丁處生 _Bd5iTa.2L51口35a石鼻ll.ipanxTQ.2DBX33.579|7.1-LMXtL2fl Esa.CCiE%D raTS,=丁口999 BE 9 EB4.44129.TES1IB qI4盤 丁TCFS4T 375 咫4roMZT. LK%15. im-.Tint|51 E g EBM5e57BS1 2T5SLffi 丁TEUP3：I2 B0 015%口 QI 5,百J 岸Q 0由國(guó)奧，哲也曲旦工通狀意欄 汽

10、格包應(yīng)淵肝 清派舒龍包 捕冬的如包 至去生讖竟名 接受的t席名 拒題曲竟名 造百至.用罩聲使用1,的3海4|1斤再9里*ia目株fea大小師143 弼 F?00E叱匕40：的：制FF： F7!FFtFFJ FT：FF醒F$45 13$3九16在加山口.：郎即:1*袖143S161時(shí)；Q3E8：*；4銃箝W：Q4；DCEj2：Ql版P1。工3。亮3,舒 在 0Q4 0D?EH：4O：44：WH39Q74M；Q 供 ES40：4 比 99!：5OsBAtF4；!0C：3CAPPN10.230,203.54 在 OOsIMjESit44；95143S775WjCQsEa： 4044： 99W：043

11、DC：lEi6Z；01觸E6-410308,6f 在 QBQ(J：E棚 4024：磬143 sH65H：；OO；EB)S44：99Q4：0A；EB7B；25：Af4Afi6-410,230,200.554 在 口況00：E區(qū)4Q：制：99143S766M；W；E壯也網(wǎng)為99g；D無(wú)口 S1E；6 需0 1APP10.230,293.170 在 g：M；E6NM3：99139790H：00;EB;41；44;99FFSFT;FF?FFS FF;FFAPP網(wǎng)C.136,136.16 在 OQtQO：E6;40r44i9A143J939H：00;Ea；43;44;99FF;FT;FFFFr；F7:F

12、FAPF640.136.13&.16 在00;00;E6:4Dr44;9AUHBOLBH;00=Ear4;44;99APE10.23020；3.39 在 OOiOO;EButi：i;44=9144J0031眥：（1比弧泣g第K;50;BAfF4;0C;3CAFP6410.230.20.24 在 O0J；M;6= 40:449上刎蒯鴕M;00;E：fi;43;44:9900;D;DCrIE:62;01APP10.230.2（X3,2 在?？冢豢谂銴B;如：&船的上刎蒯加H;dO:EfiJ;44;99H;QI;EB:7B;2:14iFR64102：30.旨0144勃tHOI3aEaE40j44;M

13、:iO4;bCElEa42B01APP41U.23cLM001aLT0 在 OOiM;5:4k44；gg144JS3MHiQOaElE40i443TFMEm ETF血fi4fl. 136. l?ul 在 00:00;EB=40r44A1732M:iflDi.EA4044iS4fTi F?:fF:FFi FT：FFAF.64iO.13Su13Sb1C CE 00 e Ma ESs 40 r 3A144D749皿hQgEB140： 44:99M:id4ibCEX2iGlAF.6410.2a0u 2039 S DDQD： ED! 40:44:93144D76BIKl!4DzEH4Cl ! 4月：99

14、DOE QX：EB：7B!2S：A4取PE4lD.Z3O.Za3,2S4 在 00 ： DO: B： 401 43! S51144DT69M! HD! EB 403 44:99M: 口鼻： 口口 lEWWECa砥PG4ID.230.203a170 在 CD：Ed!ZB：4044:9914 30 3DO IUD： EH L4J! 44:99JFl FT： FFlFFl FT：rF典PG40. 136.136.16 在 QIlRCkmENtH$kq上14A1 DUDfmi nna e-口 m 4口rwi nr r c m， m DQ*同1 n 710 7n Qi 7t FlfT，門|11丁口，At

15、njr TA r QrQ尋求幅的.港后TI（圖400:00:E8:40:44:99主機(jī)通訊的協(xié)議分布）從圖4下面的數(shù)據(jù)包可以知道，00:00:E8:40:44:99主動(dòng)向網(wǎng)絡(luò)中的其它主機(jī)發(fā)出ARP回復(fù)數(shù)據(jù)包，內(nèi)容是告訴對(duì)方主機(jī)，自己是某個(gè)IP的主機(jī)，而這個(gè)IP在不斷地變化。由此可以斷定，MAC%址為00:00:E8:40:44:99的機(jī)器在進(jìn)行ARP欺騙。同時(shí)，診斷視圖的AR隈斷事件區(qū)時(shí)，也給出了相應(yīng)的提示信息，如圖5。（圖500:00:E8:40:44:99的ARP診斷信息）經(jīng)過(guò)上面的分析，我們確定00:00:E8:40:44:99存在ARP欺騙攻擊，網(wǎng)管人員立刻開始查找該主機(jī)，由于他們以前

16、做了IP與MACM址的統(tǒng)計(jì)表，所以很輕松地就找到了該機(jī)器。在二層交換機(jī)上撥掉該主機(jī)的網(wǎng)線，網(wǎng)絡(luò)很快恢復(fù)正常，VLAN間的內(nèi)部訪問和外部訪問（包括Internet和省網(wǎng)單位）速度均恢復(fù)正常。另外，從圖3的顯示可知，00:02:B0:BC:68:D2、00:0B:DB:4B:46:81、00:11:25:8D:7D:C1三臺(tái)機(jī)器占用的流量較大，通過(guò)查看這幾臺(tái)機(jī)器的具體流量后，發(fā)現(xiàn)00:02:B0:BC:68:D2和00:0B:DB:4B:46:81在互相進(jìn)行數(shù)據(jù)拷貝，而00:11:25:8D:7D:C1對(duì)應(yīng)的IP地址是10.230.204.1,它是10.230.204.0/24網(wǎng)段的網(wǎng)關(guān)，占用較量

17、較大屬于正常情況。由此基本斷定網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)的根源即前面找出的00:00:E8:40:44:99主機(jī)。找出故障點(diǎn)，并幫助網(wǎng)絡(luò)恢復(fù)正常后，我們因?yàn)槠渌氖虑殡x開了現(xiàn)場(chǎng)，并未去排查00:00:E8:40:44:99的具體情況。下午接到電業(yè)局網(wǎng)管人員的電話，告知在找到MACK:為00:00:E8:40:44:99的主機(jī)時(shí)，該用戶僅在使用WOR進(jìn)行文檔編輯，并未人為的進(jìn)行攻擊，然后安裝防病毒軟件并對(duì)該主機(jī)進(jìn)行查殺，查出病毒若干，病毒查殺后，再次將該主機(jī)接入網(wǎng)絡(luò)，網(wǎng)絡(luò)通訊仍然正常。由此得出引發(fā)網(wǎng)絡(luò)故障的原因是MACfe址為00:00:E8:40:44:99的主機(jī)感染蠕蟲病毒，該病毒自動(dòng)進(jìn)行ARP欺騙攻擊，導(dǎo)致網(wǎng)絡(luò)訪問的時(shí)