案例分析 - 某中学网络故障诊断一、故障描述故障地点:江苏省某中学校园网故障现象:严重网络堵塞,客户机之间相互 ping 时严重丢包,校园网用户访问互联网的速度非常慢,甚至不能访问。故障详细描述:整个校园网突然出现网络通讯中断,内部用户均不能正常访问互联网,在机房中进行 ping包测试时发现,中心机房客户机对中心交换机管理地址的 ping 包响应时间较长且出现随机性丢包,主机房客户机对二级交换机通讯的通讯丢包情况更加严重。二、故障详细分析1. 前期分析初步推断引起问题的原因可能是:交换机 ARP 表更新问题广播或路由环路故障病毒攻击需要进一步猎取的信息:ARP 信息交换机负载网络中传输的原始数据包2. 故障具体分析排查开始实际具体排查工作:1.在主机房的客户机和以下的客户机上分别使用“arp –a”命令查看 ARP 缓存信息,结果正常;2.登录中心交换机查看各端口的流量,由于交换机反应速度较慢,操作超时,无法获得负载的实际流量;3.使用科来网络分析系统 5.0 捕获并分析网络中传输的数据包,具体过程如下。在中心交换机上做好端口镜像配置操作,并将分析用笔记本接到此端口上,启动科来网络分析系统 5.0 捕获分析网络的数据通讯,约 2.5 分钟后停止捕获并分析捕获到的数据包。XX 中学校园网的主机约为 1000 台,一般情况下,同时在线的有 600 台左右。在停止捕获后,我们在科来网络分析系统 5.0 主界面左边的节点浏览器中发现,内部网络(Private-Use Networks)同时在线的 IP 主机达到了 6515 台,如图 1,这表示网络存在许多伪造的 IP 主机,网络中可能存在伪造 IP 地址攻击或自动扫描攻击。选择连接视图,发现在约 2.5 分钟的时间内网络中共发起了 3027 个连接,且状态大多都是客户端请求同步,即三次握手的第一步,由 TCP 工作原理可知,TCP 工作时首先通过三次握手发起连接,假如请求端向不存在的目的端发起了同步请求,由于不会收到目的端主机的确认回复,其状态将会一直处于请求同步直到超时断开,据此,我们现在更加断定校园网中存在自动扫描攻击。详细查看图 1 的连接信息,发现这些连接大多都是由 192.168.5.119 主机发起,即连接的源地址是 192.168.5.119。选中源地址是 192.168.5.119 的任意一个连接,单击鼠标右键,在弹出的右键菜单中选择“定位浏览器节点>>端点 1 IP”,这时节点浏览器将自动定位到192.168.5.119 主机。(图 1 网络中...
