某電業(yè)局網(wǎng)絡(luò)故障診斷

1、Evaluation Warning: The document was created with Spire.Doc for .NET.案例分析 某電業(yè)局網(wǎng)絡(luò)故障診斷故障描述故障地點：某電業(yè)局故障現(xiàn)象：網(wǎng)絡(luò)嚴(yán)重阻阻塞，內(nèi)部主主機上網(wǎng)網(wǎng)甚至內(nèi)內(nèi)部主機機間的通通訊均時時斷時續(xù)續(xù)。故障詳細(xì)描描述：網(wǎng)絡(luò)突然出出現(xiàn)通訊訊中斷，某些VLAN不能訪問互聯(lián)網(wǎng)，且與其它VLAN的訪問也會出現(xiàn)中斷，在機房中進行ping包測試，發(fā)現(xiàn)中心交換機到該VLAN內(nèi)主機的ping包響應(yīng)時間較長，且出現(xiàn)間歇性丟包，VLAN與VLAN間的丟包情況則更加嚴(yán)重。故障詳細(xì)分分析前期分析初步判斷引引起問題題的原因因可能是是：交換機AR

2、RP表更更新問題題廣播或路由由環(huán)路故故障人為或病毒毒攻擊需要進一步步獲取的的信息：網(wǎng)絡(luò)拓?fù)浣Y(jié)結(jié)構(gòu)及正正常工作作時的情情況交換機ARRP表信息及交換機機負(fù)載情情況網(wǎng)絡(luò)中傳輸輸?shù)脑际紨?shù)據(jù)包包具體分析首先，我們們從網(wǎng)絡(luò)絡(luò)管理員員那兒，得知了網(wǎng)絡(luò)中主機共450臺左右，同時得到了網(wǎng)絡(luò)的簡單拓?fù)鋱D，如圖1所示。（圖1網(wǎng)網(wǎng)絡(luò)原始始拓?fù)浜唸D）從圖1可以以知道，網(wǎng)絡(luò)中劃分了6個VLAN，分別是/24、/24、/24、/24、/24、/24、，其中201205這5個VLAN分別用于一個部門，而206為服務(wù)器專用網(wǎng)段。各VLAN同時連接上中心交換機（Passport 8010），中心交換機再連接到防火墻，由防火墻

3、連接到Internet以及省單位。大致了解了了網(wǎng)絡(luò)拓拓?fù)浜螅椅覀円猿壗K端端方式登登錄中心心交換機機，發(fā)現(xiàn)現(xiàn)交換機機的負(fù)載載較大，立立即清除除交換機機ARPP表并重重啟，但故障仍然然存在，于于是我們們決定對對網(wǎng)絡(luò)進進行抓包包分析。在中心交換換機（PPasssporrt 880100）上配配置好端端口鏡像像（具體體配置信信息，略），并并將安裝裝科來網(wǎng)網(wǎng)絡(luò)分析析系統(tǒng)的的筆記本本接到中中心交換換機的鏡鏡像口上上，安裝好好后網(wǎng)絡(luò)絡(luò)的拓?fù)鋼浜唸D如如圖2所所示。（圖2安安裝科來來網(wǎng)絡(luò)分分析系統(tǒng)統(tǒng)后的網(wǎng)網(wǎng)絡(luò)拓?fù)鋼浜唸D）由于科來網(wǎng)網(wǎng)絡(luò)分析析系統(tǒng)可可以跨VVLANN對數(shù)據(jù)據(jù)進行捕捕獲分析析，所以以在中心心交

4、換機機上接入入安裝科科來網(wǎng)絡(luò)絡(luò)分析系系統(tǒng)的筆筆記本后后，網(wǎng)絡(luò)絡(luò)的拓?fù)鋼浣Y(jié)構(gòu)并并未發(fā)生生任何改改變。打開筆記本本上的科科來網(wǎng)絡(luò)絡(luò)分析系系統(tǒng)，捕捕獲數(shù)據(jù)據(jù)包約11分鐘（捕捕獲停止止后發(fā)現(xiàn)現(xiàn)確切時間間是533秒）后后停止捕捕獲，并并對捕獲獲到的數(shù)數(shù)據(jù)通訊訊進行分分析。將節(jié)點瀏覽覽器定位位到物理理端點下下的本地地網(wǎng)段，我們發(fā)發(fā)現(xiàn)MAAC地址址為000:000:E88:400:444:999的主機機，下面面共有440個IIP地址址，如圖圖3。（圖3定定位本地地網(wǎng)段的的端點視視圖）我們知道，在在正常情情況下，一一個MAAC地址址下面出出現(xiàn)多個個IP地地址，只只可能有有以下幾幾種情況況之一：網(wǎng)關(guān)、代代理服務(wù)

5、務(wù)器、手手動綁定定多個IIP地址址。咨詢詢網(wǎng)絡(luò)管管理員得得知，該該網(wǎng)段內(nèi)內(nèi)的機器器均只綁綁定了一一個MAAC地址址，且沒沒有代理理服務(wù)器器，同時時該MAAC也不不是網(wǎng)關(guān)關(guān)MACC地址，由由此，我我們懷疑疑，該主主機可能能存在欺欺騙攻擊擊。右鍵單擊圖圖3中的000:000:E88:400:444:999節(jié)點，在在彈出的的菜單中中選擇“定位瀏瀏覽器節(jié)節(jié)點(LL)”命令，將將節(jié)點瀏瀏覽器中中定位到到00:00:E8:40:44:99。查查看協(xié)議議視圖，發(fā)現(xiàn)該節(jié)點主動發(fā)起了22613個ARP回復(fù)數(shù)據(jù)包，而ARP請求數(shù)據(jù)包只有2個，如圖4所示。（圖4000:000:EE8:440:444:999主機機通

6、訊的的協(xié)議分分布）從圖4下面面的數(shù)據(jù)據(jù)包可以以知道，00:00:E8:40:44:99主動向網(wǎng)絡(luò)中的其它主機發(fā)出ARP回復(fù)數(shù)據(jù)包，內(nèi)容是告訴對方主機，自己是某個IP的主機，而這個IP在不斷地變化。由此可以斷定，MAC地址為00:00:E8:40:44:99的機器在進行ARP欺騙。同時，診斷斷視圖的的ARPP診斷事事件區(qū)時時，也給給出了相相應(yīng)的提提示信息息，如圖圖5。（圖5000:000:EE8:440:444:999的AARP診診斷信息息）經(jīng)過上面的的分析，我我們確定定00:00:E8:40:44:99存存在ARRP欺騙騙攻擊，網(wǎng)管人員立刻開始查找該主機，由于他們以前做了IP與MAC地址的統(tǒng)計

7、表，所以很輕松地就找到了該機器。在二層交換機上撥掉該主機的網(wǎng)線，網(wǎng)絡(luò)很快恢復(fù)正常，VLAN間的內(nèi)部訪問和外部訪問（包括Internet和省網(wǎng)單位）速度均恢復(fù)正常。另外，從圖圖3的顯顯示可知知，000:022:B00:BCC:688:D22、00:0B:DB:4B:46:81、00:11:25:8D:7D:C1 三臺機機器占用用的流量量較大，通過查看這幾臺機器的具體流量后，發(fā)現(xiàn)00:02:B0:BC:68:D2和00:0B:DB:4B:46:81在互相進行數(shù)據(jù)拷貝，而00:11:25:8D:7D:C1對應(yīng)的IP地址是，它是/24網(wǎng)段的網(wǎng)關(guān)，占用較量較大屬于正常情況。由此基本斷定網(wǎng)絡(luò)時斷時續(xù)的根源

8、即前面找出的00:00:E8:40:44:99主機。找出故障點點，并幫幫助網(wǎng)絡(luò)絡(luò)恢復(fù)正正常后，我們因為其它的事情離開了現(xiàn)場，并未去排查00:00:E8:40:44:99的具體情況。下午接到電電業(yè)局網(wǎng)網(wǎng)管人員員的電話話，告知知在找到到MACC地址為為00:00:E8:40:44:99的的主機時時，該用戶僅僅在使用用WORRD進行行文檔編編輯，并并未人為為的進行行攻擊，然然后安裝裝防病毒毒軟件并并對該主主機進行行查殺，查查出病毒毒若干，病毒查查殺后，再次將將該主機機接入網(wǎng)網(wǎng)絡(luò)，網(wǎng)網(wǎng)絡(luò)通訊訊仍然正正常。由由此得出出引發(fā)網(wǎng)網(wǎng)絡(luò)故障障的原因因是MAAC地址址為000:000:E88:400:444:999的主機機感染蠕蠕蟲病毒毒，該病病毒自動動進行AARP欺欺騙攻擊擊，導(dǎo)致致網(wǎng)絡(luò)訪訪問的時時斷時續(xù)續(xù)。總結(jié)中大型網(wǎng)絡(luò)絡(luò)中，網(wǎng)網(wǎng)絡(luò)故障障錯綜復(fù)復(fù)雜，不不借助專專業(yè)網(wǎng)絡(luò)絡(luò)分析工工具的情情況下，很很難對故故障進行行排查，如如本例中中，如果果不對數(shù)數(shù)據(jù)包進進行捕獲獲，即使使在交換換機上查查看流量量，由于于00:00:E8:40:44:99的的流量并并不特別別大，所所以我們們也很難難找到故障點點。同時，由于于此次捕捕獲數(shù)據(jù)據(jù)包的時時間較短短，僅僅僅只有553秒，所所以網(wǎng)絡(luò)絡(luò)中可能能還存在在一些未未被檢測測出問題題的主機機（這些