案例分析－許昌某網(wǎng)吧網(wǎng)絡(luò)故障診斷

1、Evaluation Warning: The document was created with Spire.Doc for .NET.案例分析 許昌某網(wǎng)吧網(wǎng)絡(luò)故障診斷故障描述故障地點(diǎn)：河南省許昌昌某網(wǎng)吧吧網(wǎng)絡(luò)環(huán)境：網(wǎng)吧大概有有2000臺電腦腦，采用用雙WAAN出口口（電信信和網(wǎng)通通）訪問問互聯(lián)網(wǎng)網(wǎng)，網(wǎng)絡(luò)絡(luò)結(jié)構(gòu)較較為簡單單，外網(wǎng)網(wǎng) 路由器器 主交換換機(jī) 二層層交換機(jī)機(jī) 客戶端端。故障詳細(xì)描描述：同時接上兩兩個外網(wǎng)網(wǎng)出口時時，整個個網(wǎng)絡(luò)訪訪問通訊訊出現(xiàn)異異常，網(wǎng)網(wǎng)絡(luò)速度度異常緩緩慢，很很多用戶戶甚至不能能上網(wǎng)，在客戶端進(jìn)行ping包測試時發(fā)現(xiàn)，本地客戶端嚴(yán)重丟包，斷開網(wǎng)通的外網(wǎng)出口，網(wǎng)絡(luò)卻又恢

2、復(fù)正常，ping包測試也無異常。故障分析由于在斷開開網(wǎng)通的的線路后后，網(wǎng)絡(luò)絡(luò)訪問正正常，初初步懷疑疑是網(wǎng)通通線路問問題，于于是用筆筆記本單單獨(dú)接網(wǎng)網(wǎng)通線路路測試，一一切正常常，所以以首先排除除了網(wǎng)通通線路的的問題。在排除線路問題后，我們將問題重點(diǎn)放在了內(nèi)網(wǎng)主機(jī)檢查上。由于網(wǎng)絡(luò)速度緩慢并且出現(xiàn)斷網(wǎng)的情況，所以懷疑網(wǎng)絡(luò)中有主機(jī)感染ARP或其他蠕蟲病毒攻擊導(dǎo)致網(wǎng)絡(luò)癱瘓，于是決定用科來網(wǎng)絡(luò)分析系統(tǒng)抓包分析，在中心交換機(jī)上做好端口鏡像，在筆記本上安裝科來網(wǎng)絡(luò)分析系統(tǒng)，將筆記本接到中心交換機(jī)的端口上，啟動科來網(wǎng)絡(luò)分析系統(tǒng)開始捕獲數(shù)據(jù)，約6分鐘后停止捕獲并分析捕獲到的數(shù)據(jù)包。我們首先了了解網(wǎng)絡(luò)絡(luò)的整體體運(yùn)行

3、狀狀態(tài)，在在概要統(tǒng)統(tǒng)計視圖圖中可以以看到：網(wǎng)絡(luò)的的總共流流量為11.8228GBB，而利利用率則則達(dá)到了了近800，這這是網(wǎng)絡(luò)絡(luò)緩慢的的一個重重要指示示參數(shù)。我們再看TCP的參數(shù)信息，此處，TCP的同步數(shù)據(jù)包與結(jié)束連接數(shù)據(jù)包分別是17796和9963個，由TCP的工作原理我們知道，TCP在工作時首先會通過三次握手建立連接，數(shù)據(jù)傳輸完成后，必須關(guān)閉連接，在建立握手的時候，會產(chǎn)生2個同步數(shù)據(jù)包，而關(guān)閉連接的時候，也會產(chǎn)生2個同步數(shù)據(jù)包，所以，理論情況下，1個TCP連接的同步數(shù)據(jù)包與結(jié)束連接數(shù)據(jù)包應(yīng)該大致相等，如果二者的數(shù)據(jù)包相差較大，說明當(dāng)前的網(wǎng)絡(luò)傳輸不正常。如圖1。圖1選擇端點(diǎn)視視圖，我我們發(fā)現(xiàn)

4、現(xiàn)，IP地址址為1992.1168.1.22這臺主主機(jī)的網(wǎng)網(wǎng)絡(luò)連接接數(shù)較多多，并且且流量也也比較大大，所以以，我們們定位這這個IPP，單獨(dú)獨(dú)對其分分析。在節(jié)點(diǎn)瀏覽覽器中選選擇1992.1168.1.22，打開矩矩陣連接接視圖，我我們看到到，該主機(jī)的的通訊主主機(jī)數(shù)達(dá)達(dá)到了110000個，并并且很大大一部分分為單向向流量，如如圖2。圖2打開圖表視視圖，我我們查看看該主機(jī)機(jī)的TCCP連接接情況。從從中可以以看到，該該主機(jī)的的TCPP同步數(shù)數(shù)據(jù)包、結(jié)結(jié)束連接接數(shù)據(jù)包包以及復(fù)復(fù)位數(shù)據(jù)據(jù)包的比比例，如如圖3。圖3打開會話視視圖，查查看該主主機(jī)的TTCP會會話情況況，如圖圖4。圖4在該主機(jī)的的TCPP通訊中

5、中，我們們可以看看到：該該主機(jī)嘗嘗試通過過不同的的端口試試圖與其其他IPP建立連連接，發(fā)發(fā)送的數(shù)數(shù)據(jù)包大大小均為為2466B，但但是，并并沒有收收到目標(biāo)標(biāo)主機(jī)的的任何回回應(yīng)數(shù)據(jù)據(jù)包，這這說明，其其發(fā)送的的同步數(shù)數(shù)據(jù)包被被目標(biāo)主主機(jī)復(fù)位位終止了了連接或或目標(biāo)主主機(jī)均為為異常的的IP地地址，是是該主機(jī)機(jī)感染病病毒后隨隨機(jī)向其其他主機(jī)機(jī)發(fā)送同同步連接接數(shù)據(jù)包包以試圖圖感染其其他主機(jī)機(jī)。所以以，綜合合以上的的判斷，我我們確定定，1992.1168.1.22這個主主機(jī)感染染蠕蟲病病毒，正正在發(fā)送送大量的的數(shù)據(jù)包包進(jìn)行掃掃描以試試圖感染染其他主主機(jī)。通過類似的的方法，我我們發(fā)現(xiàn)現(xiàn)：1992.1168.1.

6、994這個個IP也也存在同同樣的行行為，不不過，掃掃描方法法由TCCP掃描描變?yōu)榱肆薝DPP掃描，目目標(biāo)主機(jī)機(jī)也基本本是內(nèi)網(wǎng)網(wǎng)IP，并并且，其其發(fā)包的的頻率也也非?？炜?，1秒秒左右的的時間就就會發(fā)起起10個個同樣的的數(shù)據(jù)包包，以試試圖攻擊擊或感染染其他主主機(jī)，對對網(wǎng)絡(luò)帶帶寬的耗耗費(fèi)是非非常嚴(yán)重重的。如如圖5和和圖6。圖5圖6其次，通過過UDPP會話，我們還發(fā)現(xiàn)，IP地址為3的這個主機(jī)也存在異常情況，該主機(jī)基本全是接收的數(shù)據(jù)包并沒有發(fā)送數(shù)據(jù)包，外網(wǎng)IP不斷嘗試連接該主機(jī)的3325端口，這就說明，該主機(jī)感染了木馬病毒或正在被攻擊。如圖7。圖7綜合以上分分析，我我們對1192.1688.1.2、1192.1688.1.94以以及1992.1168.1.113進(jìn)行行了斷網(wǎng)網(wǎng)隔離，再再同時接接上電信信以及網(wǎng)網(wǎng)通雙出出口，網(wǎng)網(wǎng)絡(luò)未發(fā)發(fā)現(xiàn)異常常；同時，對對這3臺臺主機(jī)進(jìn)進(jìn)行檢查查，發(fā)現(xiàn)現(xiàn)1922.1668.11.2與與192