某某電業(yè)局網(wǎng)絡(luò)故障診斷案例分析報告.docx

1、案例分析一某電業(yè)局網(wǎng)絡(luò)故障診斷一、故障描述故障地點：某電業(yè)局故障現(xiàn)象：網(wǎng)絡(luò)嚴(yán)重阻塞，內(nèi)部主機上網(wǎng)甚至內(nèi)部主機間的通訊均時斷時續(xù)。故障詳細描述：網(wǎng)絡(luò)突然出現(xiàn)通訊中斷，某些VLAN不能訪問互聯(lián)網(wǎng)，且與其它VLAN的訪問也會出現(xiàn)中 斷，在機房中進展ping包測試，發(fā)現(xiàn)中心交換機到該VLAN內(nèi)主機的ping包響應(yīng)時間較長, 且出現(xiàn)間歇性丟包，VLAN與VLAN間的丟包情況那么更加嚴(yán)重。二、故障詳細分析1. 前期分析初步判斷引起問題的原因可能是： 交換機ARP表更新問題 播送或路由環(huán)路故障 人為或病毒攻擊需要進一步獲取的信息： 網(wǎng)絡(luò)拓撲構(gòu)造及正常工作時的情況 交換機ARP表信息及交換機負載情況 網(wǎng)絡(luò)中傳

2、輸?shù)脑紨?shù)據(jù)包2. 具體分析首先，我們從網(wǎng)絡(luò)管理員那兒，得知了網(wǎng)絡(luò)中主機共450臺左右，同時得到了網(wǎng)結(jié)的簡單拓 撲圖，如圖1所示。（圖1網(wǎng)絡(luò)原始拓撲簡圖）從圖1可以知道，網(wǎng)絡(luò)中劃分了 6個VLAN,分別是10.230.201.0/24、10.230.202.0/24、10.230.203.0/24、10.230.204.0/24、10.230.205.0/24、10.230.206.0/24、，其中 201 205 這 5 個VLAN分別用于一個部門，而206為效勞器專用網(wǎng)段。各VLAN同時連接上中心交換機 (Passport 8010L中心交換機再連接到防火墻，由防火墻連接到Internet

3、以及省單位。大致了解r網(wǎng)絡(luò)拓撲后，我們以超級終端方式登錄中心交換機，發(fā)現(xiàn)交換機的負載較大，立 即去除交換機ARP表并重啟，但故障仍然存在，于是我們決定對網(wǎng)絡(luò)進展抓包分析。在中心交換機(Passport 8010)上配置好端口鏡像具體配置信息，略)，并將安裝科來網(wǎng) 絡(luò)分析系統(tǒng)的筆記本接到中心交換機的鏡像I I上，安裝好后網(wǎng)絡(luò)的拓撲簡圖如圖2所示。(圖2安裝科來網(wǎng)絡(luò)分析系統(tǒng)后的網(wǎng)絡(luò)拓撲簡圖)由于科來網(wǎng)絡(luò)分析系統(tǒng)可以跨VLAN對數(shù)據(jù)進展捕獲分析，所以在中心交換機上接入安裝 科來網(wǎng)絡(luò)分析系統(tǒng)的筆記本后，網(wǎng)絡(luò)的拓撲構(gòu)造并未發(fā)生任何改變。翻開筆記本上的科來網(wǎng)絡(luò)分析系統(tǒng)，捕獲數(shù)據(jù)包約1分鐘捕獲停頓后發(fā)現(xiàn)確切

4、時間是53 秒)后停頓捕獲，并對捕獲到的數(shù)據(jù)通訊進展分析。將節(jié)點瀏覽器定位到物理端點下的本地網(wǎng)段，我們發(fā)現(xiàn)MAC地址為00:00:E8:40:44:99的主 機，下面共有40個IP地址，如圖3。圖3定位本地網(wǎng)段的端點視圖)我們知道，在正常情況下，一個MAC地址下面出現(xiàn)多個IP地址，只可能有以下幾種情況 之一：網(wǎng)關(guān)、代理效勞器、手動綁定多個IP地址。咨詢網(wǎng)絡(luò)管理員得知，該網(wǎng)段內(nèi)的機器 均只綁定了一個MAC地址，且沒有代理效勞器，同時該MAC也不是網(wǎng)關(guān)MAC地址，由 此，我們疑心，該主機可能存在欺騙攻擊。右鍵單擊圖3中的00:()():E8:40:44:99節(jié)點，在彈出的菜單中選擇“定位瀏覽器節(jié)點

5、(L)”命 令，將節(jié)點瀏覽器中定位到00:00:E8:40:44:99o查看協(xié)議視圖，發(fā)現(xiàn)該節(jié)點主動發(fā)起了 22613 個ARP回復(fù)數(shù)據(jù)包，而ARP請求數(shù)據(jù)包只有2個，如圖4所示。(圖4 00:00:E8:40:44:99主機通訊的協(xié)議分布)從圖4下面的數(shù)據(jù)包可以知道，00:00:E8:40:44:99主動向網(wǎng)絡(luò)中的其它主機發(fā)出ARP回復(fù) 數(shù)據(jù)包，內(nèi)容是告訴對方主機，自己是某個IP的主機，而這個IP在不斷地變化。由此可以 斷定，MAC地址為00:00:E8:40:44:99的機器在進展ARP欺騙。同時，診斷視圖的ARP診斷事件區(qū)時，也給出了相應(yīng)的提示信息，如圖5。(圖 5 00:(X):E8:

6、40:44:99 的 ARP 診斷信息)經(jīng)過上面的分析，我們確定00:00:E8:40:44:99存在ARP欺騙攻擊，網(wǎng)管人員立刻開場查找 該主機，由于他們以前做了 IP與MAC地址的統(tǒng)計表，所以很輕松地就找到了該機器。在 二層交換機上撥掉該主機的網(wǎng)線，網(wǎng)絡(luò)很快恢復(fù)正常，VLAN間的內(nèi)部訪問和外部訪問(包 括Internet和省網(wǎng)單位)速度均恢復(fù)正常。另外，從圖 3 的顯示可知,00:02:B0:BC:68:D2、00:0B:DB:4B:46:81、00:11:25:8D:7D:C1 三 臺機器占用的流量較大，通過查看這幾臺機器的具體流量后，發(fā)現(xiàn)00:02:B0:BC:68:D2和 00:0B

7、:DB:4B:46:81在互相進展數(shù)據(jù)拷貝，而00:11:25:8D:7D:C1對應(yīng)的IP地址是 10.230.204.1,它是10.230.204.0/24網(wǎng)段的網(wǎng)關(guān)，占用比賽較大屬于正常情況。由此根本斷 定網(wǎng)絡(luò)時斷時續(xù)的根源即前面找出的00:00:E8:40:44:99主機。找出故障點，并幫助網(wǎng)絡(luò)恢復(fù)正常后，我們因為其它的事情離開了現(xiàn)場，并未去排查 00:00:E8:40:44:99 的具體情況。下午接到電業(yè)局網(wǎng)管人員的，告知在找到MAC地址為00:00:E8:40:44:99的主機時，該 用戶僅在使用WORD進展文檔編輯，并未人為的進展攻擊，然后安裝防病毒軟件并對該主 機進展查殺，查出病毒假設(shè)干，病毒查殺后，再次將該主機接入網(wǎng)絡(luò)，網(wǎng)絡(luò)通訊仍然正常。 由此得出引發(fā)網(wǎng)結(jié)故障的原因是MAC地址為00:00:E8:40:44:99的主機感染蠕蟲病毒，該病 毒自動進展ARP欺騙攻擊，導(dǎo)致網(wǎng)絡(luò)訪問的時斷時續(xù)。三、總結(jié)中大型網(wǎng)絡(luò)中，網(wǎng)絡(luò)故障錯綜復(fù)雜，不借助專業(yè)網(wǎng)絡(luò)分析工具的情況下，很難對故障進展排 查，如本例中，如果不對數(shù)據(jù)包進展捕獲，即使在交換機上查看流量，由' 00:(X):E8:40:44:99 的流量并不特別大，所以我們也很難找到故障點。同時，由于此次捕獲數(shù)據(jù)包的時間較短，僅僅只有53秒，所以網(wǎng)