網(wǎng)絡(luò)中出現(xiàn)速度慢、時(shí)斷時(shí)續(xù)、不能訪問(wèn)的網(wǎng)絡(luò)故障應(yīng)該是管理員們經(jīng)常遇到的，我認(rèn)為掌握并利用網(wǎng)絡(luò)分析軟件往往能夠化難為易，幫助管理者快速準(zhǔn)確定位故障，從而盡快解決故障
一、網(wǎng)絡(luò)故障描述
我校的局域網(wǎng)出現(xiàn)了異常，具體表現(xiàn)為：客戶機(jī)之間相互ping時(shí)嚴(yán)重丟包，校園網(wǎng)用戶訪問(wèn)互聯(lián)網(wǎng)的速度非常慢，甚至不能訪問(wèn)。整個(gè)校園網(wǎng)突然出現(xiàn)網(wǎng)絡(luò)通訊中斷，內(nèi)部用戶均不能正常訪問(wèn)互聯(lián)網(wǎng)。
二、故障初步分析
初步判斷可能是，交換機(jī)ARP表更新問(wèn)題，廣播或路由環(huán)路故障，病毒攻擊等引起的。因此，需要進(jìn)一步獲取ARP信息、交換機(jī)負(fù)載、網(wǎng)絡(luò)中傳輸?shù)脑�始�?shù)據(jù)包等信息。
首先，在該校的機(jī)房的客戶機(jī)和其下的客戶機(jī)上分別使用“arp–a”命令查看ARP緩存信息，結(jié)果正常。
三、層層深入排除故障
在分析受阻后，決定應(yīng)用“科來(lái)網(wǎng)絡(luò)分析系統(tǒng)”捕獲并分析網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包，進(jìn)行網(wǎng)絡(luò)故障的排查。下面介紹一下排查過(guò)程：
1.配置抓包
在中心交換機(jī)上做好端口鏡像配置操作，并將分析用筆記本接到此端口上，啟動(dòng)科來(lái)網(wǎng)絡(luò)分析系統(tǒng)6.0捕獲分析網(wǎng)絡(luò)的數(shù)據(jù)通訊，約2.5分鐘后停止捕獲并分析捕獲到的數(shù)據(jù)包。
2.查看連接定位攻擊源
我校校園網(wǎng)的主機(jī)約為200臺(tái)，一般情況下，同時(shí)在線的有50臺(tái)左右。在停止捕獲后，筆者在科來(lái)網(wǎng)絡(luò)分析系統(tǒng)主界面左邊的節(jié)點(diǎn)瀏覽器中發(fā)現(xiàn)，內(nèi)網(wǎng)同時(shí)在線的IP主機(jī)達(dá)到了515臺(tái)，這表示網(wǎng)絡(luò)存在許多偽造的IP主機(jī)，網(wǎng)絡(luò)中可能存在偽造IP地址攻擊或自動(dòng)掃描攻擊。選擇連接視圖，發(fā)現(xiàn)在約2.5分鐘的時(shí)間內(nèi)網(wǎng)絡(luò)中共發(fā)起了827個(gè)連接，且狀態(tài)大多都是客戶端請(qǐng)求同步，即三次握手的第一步，由TCP工作原理可知，TCP工作時(shí)首先通過(guò)三次握手發(fā)起連接，如果請(qǐng)求端向不存在的目的端發(fā)起了同步請(qǐng)求，由于不會(huì)收到目的端主機(jī)的確認(rèn)回復(fù)，其狀態(tài)將會(huì)一直處于請(qǐng)求同步直到超時(shí)斷開(kāi)。據(jù)此，我們現(xiàn)在更加斷定校園網(wǎng)中存在自動(dòng)掃描攻擊。
選擇圖表視圖，并選中TCP連接子視圖項(xiàng)，查看192.168.5.119主機(jī)的TCP連接情況，發(fā)現(xiàn)92.168.5.119這臺(tái)主機(jī)在約2.5分鐘的時(shí)間內(nèi)發(fā)起了300個(gè)連接，且其中有193個(gè)連接都是初始化連接，即同步連接，這表示192.168.5.119主機(jī)肯定存在自動(dòng)掃描攻擊。
3.通過(guò)協(xié)議確定攻擊方式
選擇數(shù)據(jù)包視圖查看192.168.5.119傳輸數(shù)據(jù)的原始解碼信息，這些數(shù)據(jù)包的大小都是66字節(jié)，協(xié)議都是CIFS，源地址都是192.168.5.119，而目標(biāo)地址則隨機(jī)產(chǎn)生，目標(biāo)端口都是445，且數(shù)據(jù)包的TCP標(biāo)記位都將同步位置1，這說(shuō)明192.168.5.119這臺(tái)機(jī)器正在主動(dòng)對(duì)網(wǎng)絡(luò)中主機(jī)的TCP445端口進(jìn)行掃描攻擊，原因可能是192.168.5.119主機(jī)感染病毒程序，或者是人為使用掃描軟件進(jìn)行攻擊。
找到問(wèn)題的根源后，正準(zhǔn)備對(duì)192.168.5.119主機(jī)進(jìn)行隔離，這時(shí)因其它事情中斷分析工作約10分鐘左右。繼續(xù)工作，隔離192.168.5.119主機(jī)的同時(shí)再次將啟動(dòng)科來(lái)網(wǎng)絡(luò)分析系統(tǒng)6.0捕獲分析網(wǎng)絡(luò)的數(shù)據(jù)通訊，約2.5分鐘后停止捕獲并分析捕獲到的數(shù)據(jù)包。
分析捕獲到的數(shù)據(jù)包，網(wǎng)絡(luò)中又出現(xiàn)了3臺(tái)與192.168.5.119相似情況的主機(jī)，且這些主機(jī)發(fā)起的同步連接數(shù)都大大超過(guò)192.168.5.119，即是其中一臺(tái)主機(jī)在約2.5分鐘內(nèi)的發(fā)起的連接數(shù)，其中同步連接達(dá)到了431個(gè)。
通過(guò)這個(gè)情況，我們可以肯定192.168.5.119和新發(fā)現(xiàn)的三臺(tái)主機(jī)都是感染了病毒，且該病毒會(huì)主動(dòng)掃描網(wǎng)絡(luò)中其它主機(jī)是否打開(kāi)TCP445端口，如果某主機(jī)打開(kāi)該端口，就攻擊并感染這臺(tái)主機(jī)。如此循環(huán)，即引發(fā)了上述的網(wǎng)絡(luò)故障。
4.隔離殺毒解除故障
立即對(duì)新發(fā)現(xiàn)感染病毒的3臺(tái)主機(jī)進(jìn)行隔離，ping測(cè)試響應(yīng)時(shí)間立刻變?yōu)?ms，網(wǎng)絡(luò)通訊立刻恢復(fù)正常。
5.補(bǔ)充說(shuō)明
需要說(shuō)明的是，在解決該網(wǎng)絡(luò)故障的過(guò)程中進(jìn)行了兩次抓包，這兩次抓包相隔僅10分鐘的時(shí)間，通過(guò)對(duì)數(shù)據(jù)包的分析發(fā)現(xiàn)網(wǎng)絡(luò)中就被新感染主機(jī)。
由此我們可以想象，不使用網(wǎng)絡(luò)檢測(cè)分析軟件捕獲分析網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包，僅通過(guò)查看交換機(jī)的端口流量，或者使用單純的流量軟件，很難找到問(wèn)題的根源，這樣網(wǎng)絡(luò)中感染病毒的主機(jī)會(huì)越來(lái)越多，最終將導(dǎo)致整個(gè)網(wǎng)絡(luò)的全部癱瘓。

搜論文知識(shí)網(wǎng)致力于為需要刊登論文的人士提供相關(guān)服務(wù),提供迅速快捷的論文發(fā)表、寫作指導(dǎo)等服務(wù)。具體發(fā)表流程為：客戶咨詢→確定合作，客戶支付定金→文章發(fā)送并發(fā)表→客戶接收錄用通知，支付余款→雜志出版并寄送客戶→客戶確認(rèn)收到。鳴網(wǎng)系學(xué)術(shù)網(wǎng)站，對(duì)所投稿件無(wú)稿酬支付，謝絕非學(xué)術(shù)類稿件的投遞！