常見故障以及排查思路課件

部門/姓名文檔類型:文檔密級:主送對象: 抄送對象:文檔編號:審核人:常見故障以及排查思路修訂記錄修訂日期修訂版本修訂描述作者xxxx-xx-xxV1.0初稿完成。xxx學(xué)習(xí)目標了解網(wǎng)吧常見故障掌握排障思路3課程內(nèi)容第一章網(wǎng)吧常見故障第二章排查思路第一章網(wǎng)吧常見故障網(wǎng)吧的網(wǎng)絡(luò)是影響網(wǎng)吧發(fā)展的命脈，沒有一個好的網(wǎng)絡(luò)，網(wǎng)吧就不會有長久的客戶群，但網(wǎng)吧網(wǎng)絡(luò)的復(fù)雜性也使得網(wǎng)絡(luò)經(jīng)常出現(xiàn)各種故障，網(wǎng)線的狀況、網(wǎng)線的接頭、交換機、集線器、網(wǎng)卡，以及驅(qū)動程序等等都是影響網(wǎng)吧網(wǎng)絡(luò)的元素。

又斷網(wǎng)了！第一章網(wǎng)吧常見故障網(wǎng)吧常見故障(一)ARP攻擊現(xiàn)象：突發(fā)性瞬間斷線，快速連上，期間上網(wǎng)速度越來越慢，一段時間又瞬間斷線。內(nèi)網(wǎng)診斷：1、斷線時（arp攻擊木馬程序運行時）在內(nèi)網(wǎng)的PC上執(zhí)行arp–a命令，看見網(wǎng)關(guān)地址的mac地址信息不是路由器的真實mac地址；2、內(nèi)網(wǎng)如果安裝sniffer軟件的話，可以看到arp攻擊木馬程序運行時發(fā)出海量的arp查詢信息。原因：arp攻擊木馬程序運行時，將自己偽裝成路由器，所有內(nèi)網(wǎng)用戶上網(wǎng)從由路由器上網(wǎng)轉(zhuǎn)為從中毒電腦上網(wǎng)，切換過程中用戶會斷一次線。過程用戶感覺上網(wǎng)非常慢。當(dāng)arp攻擊木馬程序停止運行時，所有內(nèi)網(wǎng)用戶上網(wǎng)又從由中毒電腦上網(wǎng)轉(zhuǎn)為從路由器上網(wǎng)，切換過程中用戶會再斷一次線。第一章網(wǎng)吧常見故障ARP欺騙攻擊分類-主機型7主機型ARP欺騙欺騙者主機冒充網(wǎng)關(guān)設(shè)備對其他主機進行欺騙7網(wǎng)關(guān)欺騙者嗨，我是網(wǎng)關(guān)PC1第一章網(wǎng)吧常見故障ARP欺騙攻擊分類-網(wǎng)關(guān)型88網(wǎng)關(guān)欺騙者嗨，我是PC1PC1網(wǎng)關(guān)型ARP欺騙欺騙者主機冒充其他主機對網(wǎng)關(guān)設(shè)備進行欺騙第一章網(wǎng)吧常見故障99ARP欺騙攻擊目的PC1網(wǎng)關(guān)主機型網(wǎng)關(guān)型欺騙者為什么產(chǎn)生ARP欺騙攻擊？表象：網(wǎng)絡(luò)通訊中斷真實目的：截獲網(wǎng)絡(luò)通訊數(shù)據(jù)第一章網(wǎng)吧常見故障1010ARP欺騙攻擊緣何泛濫屢禁不止的ARP欺騙ARP欺騙的目的是截獲數(shù)據(jù)，例如銀行卡、游戲帳戶等，巨大的經(jīng)濟利益驅(qū)動了ARP欺騙的發(fā)展ARP欺騙實現(xiàn)原理簡單，變種極多，通過病毒網(wǎng)頁或木馬程序即可傳播，殺毒軟件的更新不能及時跟上病毒的變種

ARP欺騙是由于協(xié)議缺陷造成的，業(yè)界鮮有良好的解決方案第一章網(wǎng)吧常見故障1111判斷ARP欺騙攻擊-主機怎樣判斷是否受到了ARP欺騙攻擊？網(wǎng)絡(luò)時斷時續(xù)或網(wǎng)速特別慢在命令行提示符下執(zhí)行“arp–d”命令就能好上一會在命令行提示符下執(zhí)行“arp–a”命令查看網(wǎng)關(guān)對應(yīng)的MAC地址發(fā)生了改變第一章網(wǎng)吧常見故障1212判斷ARP欺騙攻擊-網(wǎng)關(guān)設(shè)備網(wǎng)關(guān)設(shè)備怎樣判斷是否受到了ARP欺騙攻擊？ARP表中同一個MAC對應(yīng)許多IP地址第一章網(wǎng)吧常見故障1313解決辦法：1、將感染病毒的PC從內(nèi)網(wǎng)斷開，查殺病毒。2、在PC和路由器上雙向綁定對方的IP和MAC地址。第一章網(wǎng)吧常見故障1414常見ARP欺騙“應(yīng)付”手段-雙向綁定手工設(shè)置靜態(tài)ARP表項靜態(tài)ARP優(yōu)先級高于動態(tài)ARP表項分別在網(wǎng)關(guān)設(shè)備與用戶主機上配置靜態(tài)ARP表項工作維護量大，網(wǎng)關(guān)設(shè)備、用戶都需要進行操作可有效解決ARP欺騙第一章網(wǎng)吧常見故障1515常見ARP欺騙“應(yīng)付”手段-ARP防火墻ARP防火墻軟件定期向網(wǎng)關(guān)發(fā)送GratuitousARP，以通告自己正確的ARP信息發(fā)送頻率過高嚴重占用網(wǎng)絡(luò)帶寬發(fā)送頻率過低則達不到防范目的惹禍的ARP防火墻對于異常多arp請求，請禁用xx防火墻的arp攻擊防御功能當(dāng)打開xx防火墻的arp防護功能時,防火墻會以每秒1000個arp包的向外廣播,詢問同一個地址裝xx防火墻的主機在發(fā)現(xiàn)網(wǎng)上有ARP欺騙的時候會發(fā)送大量廣播包，致使正常網(wǎng)絡(luò)出現(xiàn)中斷不能解決ARP欺騙第一章網(wǎng)吧常見故障1616網(wǎng)吧常見故障（二）游戲卡現(xiàn)象：魔獸或者某一個游戲卡內(nèi)網(wǎng)診斷：1、單線路固定限速時，首先檢查是否有ACL阻斷了相應(yīng)的端口和流量,其次查看流量是否被占滿,如果條件允許，不經(jīng)過路由器單機測試游戲；2、單線路游戲優(yōu)先時,在1的基礎(chǔ)查看特征庫是否是最新版本，確保是最新的特征庫，查看流量是否被識別成P2P流量；3、雙線路固定限速時，在單線路排查的基礎(chǔ)上，查看路由是否走錯，網(wǎng)通的流量是否走到了電信.4、雙線路游戲優(yōu)先時,按123的思路來排查.原因：ACL做了限制,沒有更新的特征庫,流量識別錯誤,路由走錯解決辦法：取消相應(yīng)的端口阻斷,升級特征庫，添加游戲端口號,修改路由第一章網(wǎng)吧常見故障1717檢查ACL是否有阻斷查看流量是否占滿單線固定取消阻斷單機測試,抓包YNYN限速調(diào)整第一章網(wǎng)吧常見故障1818查看流量是否占滿：第一章網(wǎng)吧常見故障1919術(shù)語解釋：

Inbound:真實的上傳速度Outbound:真實的下載速度Receive_IN:需求的上傳速度Receive_OUT:需求的下載速度第一章網(wǎng)吧常見故障2020單線游戲檢查ACL是否有阻斷取消阻斷特征庫是否最新

查看流量是否識別成P2PYNNY升級特征庫第一章網(wǎng)吧常見故障2121特征庫的作用：P2P阻斷及游戲優(yōu)先功能都需要通過特征庫文件來識別的。如何檢查特征庫是否是最新：高級選項—系統(tǒng)：第一章網(wǎng)吧常見故障2222怎么查看內(nèi)網(wǎng)應(yīng)用：第一章網(wǎng)吧常見故障2323怎么查看應(yīng)用是否被識別成了P2P：第一章網(wǎng)吧常見故障2424怎么查看應(yīng)用是否被識別成了P2P：Router#shflowallflowcount:200000proinsideipportoutsideipportflow_appflow_groupflow_classUDP180030600028173UDP198006600028173根據(jù)顯示的信息，可以查看每條流的分類。以上字段說明如下：pro：流的協(xié)議類型。insideip：內(nèi)網(wǎng)pcip。port：內(nèi)網(wǎng)端口。outsideip：外網(wǎng)目的ip。port：外網(wǎng)目的端口。flow_app：流的具體應(yīng)用編號。flow_group：流的應(yīng)用分組。flow_class：流的應(yīng)用分類。第一章網(wǎng)吧常見故障2525解決辦法：添加游戲端口號：帶寬狀態(tài)—游戲優(yōu)先第一章網(wǎng)吧常見故障2626雙線固定檢查ACL是否有阻斷取消阻斷查看帶寬是否被占滿

調(diào)整限速YNNY查看路由是否走錯第一章網(wǎng)吧常見故障2727如何查看路由選路錯誤：通過telnet或者配置線的方式登錄到路由器中通過showipnattranslationssrc-ip進行驗證查看圖中藍色框體中表示您登陸該網(wǎng)站使用的是哪條線路（哪個公網(wǎng)IP地址），即您電信或網(wǎng)通的IP地址。圖中紅色框體中表示該網(wǎng)站的ip地址，冒號后面為登錄該網(wǎng)站使用的端口號。如果出現(xiàn)了選路錯誤，即電信的網(wǎng)站從網(wǎng)通線路出去或網(wǎng)通的網(wǎng)站從電信線路出去，這時就需要手工添加靜態(tài)路由來控制路由選路問題。命令行添加方式：iproute0055--指向電信或網(wǎng)通網(wǎng)關(guān)第一章網(wǎng)吧常見故障28282確認該IP地址是屬于電信還是網(wǎng)通的

您可以登陸ip138查詢第一章網(wǎng)吧常見故障2929雙線游戲檢查ACL是否有阻斷取消阻斷特征庫是否最新

查看路由是否走錯YNNY升級特征庫第一章網(wǎng)吧常見故障3030雙線游戲優(yōu)先時：參見前三步排查思路綜合排查.第一章網(wǎng)吧常見故障3131網(wǎng)吧常見故障（三）端口映射不成功現(xiàn)象：端口映射配置后，外網(wǎng)也無法正常訪問內(nèi)網(wǎng)診斷：1、內(nèi)網(wǎng)映射的服務(wù)器是否可以上網(wǎng)2、內(nèi)網(wǎng)主機訪問服務(wù)器，是否能訪問3、嘗試映射其他端口，看是否能映射成功4、查看路由,如果是雙線，排查是否是來回路徑不一致造成5、抓包原因：1、網(wǎng)絡(luò)不通2、服務(wù)器端口沒打開3、端口被屏蔽4、ACL阻斷5、服務(wù)器自身問題第一章網(wǎng)吧常見故障3232解決辦法：1、確保網(wǎng)絡(luò)暢通2、確保配置無誤3、聯(lián)系運營商確保端口不被屏蔽4、確保服務(wù)器本身無問題第一章網(wǎng)吧常見故障3333網(wǎng)吧常見故障（四）外網(wǎng)攻擊現(xiàn)象：內(nèi)網(wǎng)用戶斷線內(nèi)網(wǎng)診斷：1、ping路由器LAN口IP地址丟包，ping外網(wǎng)網(wǎng)關(guān)地址時丟包。2、ping路由器LAN口IP地址不丟包，ping外網(wǎng)網(wǎng)關(guān)地址不丟包，ping公網(wǎng)DNS地址時丟包。原因：運營商接入設(shè)備有問題（modem、光收發(fā)器）、接入線路質(zhì)量問題、運營商Internet總出口故障，遭受外界惡意攻擊.解決辦法：聯(lián)系運營商解決,一般推薦在物理層沒問題的情況下更換IP.第一章網(wǎng)吧常見故障3434信息收集：showcpushowintshowlogshowrun第一章網(wǎng)吧常見故障3535網(wǎng)吧常見故障（五）cpu高現(xiàn)象：cpu經(jīng)常達到99%,造成內(nèi)網(wǎng)卡甚至斷網(wǎng)內(nèi)網(wǎng)診斷：1、ping路由器LAN口IP地址丟包，ping外網(wǎng)網(wǎng)關(guān)地址時丟包。2、無法正常登陸路由器.原因：1、內(nèi)外網(wǎng)攻擊2、路由器性能受限3、內(nèi)網(wǎng)有惡意上傳下載的流量解決辦法：1、嘗試登陸路由器，或者嘗試拔掉外網(wǎng)線，或內(nèi)網(wǎng)線登陸2、排查內(nèi)網(wǎng)，拒絕中病毒的主機接入網(wǎng)絡(luò)3、對客戶機進行限速4、若是外網(wǎng)攻擊,更換IP地址第一章網(wǎng)吧常見故障3636信息收集：shlog:第一章網(wǎng)吧常見故障查看流量：若有某臺PC上行/下行流量與實際需要的上行/下行差別很大時（例，30的流量有異常情況），可以查看下這臺PC的NAT轉(zhuǎn)換情況，查看方式：NBR1200#showipnattrsr30第一章網(wǎng)吧常見故障查看接口信息：第一章網(wǎng)吧常見故障注意對應(yīng)關(guān)系：內(nèi)網(wǎng)口的input對應(yīng)外網(wǎng)口的output，外網(wǎng)口的input對應(yīng)內(nèi)網(wǎng)口的output,一般情況這兩個值相差很小，如果出現(xiàn)成倍的差別,很可能內(nèi)網(wǎng)攻擊造成，需要檢查網(wǎng)絡(luò)環(huán)境.第一章網(wǎng)吧常見故障PC上收集以下信息：在命令提示符下輸入：C:\DocumentsandSettings\ss〉ping//ping內(nèi)網(wǎng)網(wǎng)關(guān)地址C:\DocumentsandSettings\ss〉ping//ping外網(wǎng)網(wǎng)關(guān)地址C:\DocumentsandSettings\ss〉ping5//ping外網(wǎng)接口(wan口)地址C:\DocumentsandSettings\ss〉arp-a第一章網(wǎng)吧常見故障網(wǎng)吧常見故障（六）路由器主程序丟失現(xiàn)象：路由器不停重啟內(nèi)網(wǎng)診斷：內(nèi)網(wǎng)無法PING通路由器管理地址,無法登陸原因：操作不當(dāng)，環(huán)境原因造成主程序丟失解決方法：重新升級路由器網(wǎng)吧常見故障（七）web升級失敗現(xiàn)象：nbr使用web進行升級時，升級失敗，但是還可以正常上網(wǎng)。原因：一般是由于升級文件名錯誤、flash空間不足、網(wǎng)絡(luò)連通性，或者是flash讀寫錯誤導(dǎo)致。解決方法：先命令行進行碎片整理再重新升級，如果還是不行，則將flash進行格式化再重新升級。格式化后需要使用命令行升級。操作方法詳見升級文檔。第一章網(wǎng)吧常見故障42網(wǎng)吧常見故障（八）域名過濾不生效現(xiàn)象：Nbrweb上添加了要過濾的域名，但是還可以正常訪問該域名原因：一般是由于添加的域名有誤，dns設(shè)置問題，解決方法：PC配置的主dns需要和路由器配置的dns一致；添加的域名不能帶http也不能帶路徑以下寫法是錯誤的：ruijieruijie/service檢查主機是否有添加host條目。在測試的時候為了保證結(jié)果的準確性，建議使用ipconfig/flushdns清除一下dns緩存第一章網(wǎng)吧常見故障43網(wǎng)吧常見故障（九）nbr無法登陸管理界面現(xiàn)象：Nbr無法登陸web管理界面，上網(wǎng)一切正常原因：修改了web訪問的端口，添加了80端口的訪問控制列表，使用了禁止內(nèi)網(wǎng)web訪問的功能，web文件被破壞，網(wǎng)絡(luò)攻擊解決方法：如果是修改了web訪問的端口，改用x.x.x.x:port

登陸，或者命令行查看web端口取消ACL在接口上的應(yīng)用使用命令nosecuritydenylan-web允許內(nèi)網(wǎng)web訪問外網(wǎng)無法web訪問，更換web端口并且打開wan-web功能測試網(wǎng)頁打