1、 某中學網絡故障診斷成都科來軟件有限公司 電話mail：sales HYPERLINK 傳真upport 6/6案例分析 某中學網絡故障診斷故障描述故障地點：江蘇省某中學校園網故障現象：嚴重網絡阻塞，客戶機之間相互ping時嚴重丟包，校園網用戶訪問互聯網的速度非常慢，甚至不能訪問。故障詳細描述：整個校園網突然出現網絡通訊中斷，內部用戶均不能正常訪問互聯網，在機房中進行ping包測試時發現，中心機房客戶機對中心交換機管理地址的ping包響應時間較長且出現隨機性丟包，主機房客戶機對二級交換機通訊的通訊丟包情況更加嚴重。故障詳細分析前期分析初步

2、判斷引起問題的原因可能是：交換機ARP表更新問題廣播或路由環路故障病毒攻擊需要進一步獲取的信息：ARP信息交換機負載網絡中傳輸的原始數據包故障具體分析排查開始實際具體排查工作：在主機房的客戶機和以下的客戶機上分別使用“arp a”命令查看ARP緩存信息，結果正常；登錄中心交換機查看各端口的流量，由于交換機反應速度較慢，操作超時，無法獲得負載的實際流量；使用科來網絡分析系統5.0捕獲并分析網絡中傳輸的數據包，具體過程如下。在中心交換機上做好端口鏡像配置操作，并將分析用筆記本接到此端口上，啟動科來網絡分析系統5.0捕獲分析網絡的數據通訊，約2.5分鐘后停止捕獲并分析捕獲到的數據包。XX中學校園網的

3、主機約為1000臺，一般情況下，同時在線的有600臺左右。在停止捕獲后，我們在科來網絡分析系統5.0主界面左邊的節點瀏覽器中發現，內部網絡（Private-Use Networks）同時在線的IP主機達到了6515臺，如圖1，這表示網絡存在許多偽造的IP主機，網絡中可能存在偽造IP地址攻擊或自動掃描攻擊。選擇連接視圖，發現在約2.5分鐘的時間內網絡中共發起了3027個連接，且狀態大多都是客戶端請求同步，即三次握手的第一步，由TCP工作原理可知，TCP工作時首先通過三次握手發起連接，如果請求端向不存在的目的端發起了同步請求，由于不會收到目的端主機的確認回復，其狀態將會一直處于請求同步直到超時斷開

4、，據此，我們現在更加斷定校園網中存在自動掃描攻擊。詳細查看圖1的連接信息，發現這些連接大多都是由19主機發起，即連接的源地址是19。選中源地址是19的任意一個連接，單擊鼠標右鍵，在彈出的右鍵菜單中選擇“定位瀏覽器節點端點1 IP”，這時節點瀏覽器將自動定位到19主機。（圖1 網絡中的TCP連接信息）選擇圖表視圖，并選中TCP連接子視圖項，查看19主機的TCP連接情況，如圖2所示。查看圖2可知，19這臺主機在約2.5分鐘的時間內發起了2800個連接，且其中有2793個連接都是初始化連接，即同步連接，這表示19主機肯定存在自動掃描攻擊。（圖219主機的TCP連接信息）選擇數據包視圖查看19傳輸數據

5、的原始解碼信息，如圖3。從圖3可知，這些數據包的大小都是66字節，協議都是CIFS，源地址都是19，而目標地址則隨機產生，目標端口都是445，且數據包的TCP標記位都將同步位置1，這說明19這臺機器正在主動對網絡中主機的TCP 445端口進行掃描攻擊，原因可能是19主機感染病毒程序，或者是人為使用掃描軟件進行攻擊。（圖319主機的數據包解碼信息）找到問題的根源后，正準備對19主機進行隔離，這時因其它事情中斷分析工作約10分鐘左右。繼續工作，隔離19主機的同時再次將啟動科來網絡分析系統5.0捕獲分析網絡的數據通訊，約2.5分鐘后停止捕獲并分析捕獲到的數據包。分析捕獲到的數據包，網絡中又出現了3臺

6、與19相似情況的主機，且這些主機發起的同步連接數都大大超過19，圖4所示的即是其中一臺主機在約2.5分鐘內的發起的連接數，其中同步連接達到了6431個。通過這個情況，我們可以肯定19和新發現的三臺主機都是感染了病毒，且該病毒會主動掃描網絡中其它主機是否打開TCP 445端口，如果某主機打開該端口，就攻擊并感染這臺主機。如此循環，即引發了上述的網絡故障。（圖44主機的TCP連接信息）網管人員立即對新發現感染病毒的3臺主機進行隔離，ping測試響應時間立刻變為1ms，網絡通訊立刻恢復正常。在分析中，我們還發現，7主機占用的流量較大，其通訊數據包的源端和目的端都使用UDP 6020端口，且與7通信的地址是一個組播IP地址，簽于此，我們推測7可能在使用在線視頻點播之類的應用，并因此對網絡資源造成了一定程度的耗費，其通訊數據包如圖5所示。對于這種情況，網管人員也應對其進行檢查，確定其合法性，以避免網絡帶寬被一些非關鍵業務所耗費。（圖57主機的通訊數據包信息）在第一次和第二次捕獲之間，相隔僅10分鐘的時間，網絡中就被新感染主機三臺。由此我們可以想象，如果不使用網絡檢測分析軟件捕獲分析網絡中傳輸的數據包，僅通過查看交換機的端口流量，或者使用單純的流量軟件，將很難找到問題的根源，這樣網絡中感染的主機會越來越多，最終將導致整個網絡的全