部門/姓名文檔類型:文檔密級(jí):主送對(duì)象: 抄送對(duì)象:文檔編號(hào):審核人:常見故障以及排查思路修訂記錄修訂日期修訂版本修訂描述作者xxxx-xx-xxV1.0初稿完成。xxx學(xué)習(xí)目標(biāo)了解網(wǎng)吧常見故障掌握排障思路3課程內(nèi)容第一章網(wǎng)吧常見故障第二章排查思路第一章網(wǎng)吧常見故障網(wǎng)吧的網(wǎng)絡(luò)是影響網(wǎng)吧發(fā)展的命脈，沒有一個(gè)好的網(wǎng)絡(luò)，網(wǎng)吧就不會(huì)有長久的客戶群，但網(wǎng)吧網(wǎng)絡(luò)的復(fù)雜性也使得網(wǎng)絡(luò)經(jīng)常出現(xiàn)各種故障，網(wǎng)線的狀況、網(wǎng)線的接頭、交換機(jī)、集線器、網(wǎng)卡，以及驅(qū)動(dòng)程序等等都是影響網(wǎng)吧網(wǎng)絡(luò)的元素。

又?jǐn)嗑W(wǎng)了！第一章網(wǎng)吧常見故障網(wǎng)吧常見故障(一)ARP攻擊現(xiàn)象：突發(fā)性瞬間斷線，快速連上，期間上網(wǎng)速度越來越慢，一段時(shí)間又瞬間斷線。內(nèi)網(wǎng)診斷：1、斷線時(shí)（arp攻擊木馬程序運(yùn)行時(shí)）在內(nèi)網(wǎng)的PC上執(zhí)行arp–a命令，看見網(wǎng)關(guān)地址的mac地址信息不是路由器的真實(shí)mac地址；2、內(nèi)網(wǎng)如果安裝sniffer軟件的話，可以看到arp攻擊木馬程序運(yùn)行時(shí)發(fā)出海量的arp查詢信息。原因：arp攻擊木馬程序運(yùn)行時(shí)，將自己偽裝成路由器，所有內(nèi)網(wǎng)用戶上網(wǎng)從由路由器上網(wǎng)轉(zhuǎn)為從中毒電腦上網(wǎng)，切換過程中用戶會(huì)斷一次線。過程用戶感覺上網(wǎng)非常慢。當(dāng)arp攻擊木馬程序停止運(yùn)行時(shí)，所有內(nèi)網(wǎng)用戶上網(wǎng)又從由中毒電腦上網(wǎng)轉(zhuǎn)為從路由器上網(wǎng)，切換過程中用戶會(huì)再斷一次線。第一章網(wǎng)吧常見故障ARP欺騙攻擊分類-主機(jī)型7主機(jī)型ARP欺騙欺騙者主機(jī)冒充網(wǎng)關(guān)設(shè)備對(duì)其他主機(jī)進(jìn)行欺騙7網(wǎng)關(guān)欺騙者嗨，我是網(wǎng)關(guān)PC1第一章網(wǎng)吧常見故障ARP欺騙攻擊分類-網(wǎng)關(guān)型88網(wǎng)關(guān)欺騙者嗨，我是PC1PC1網(wǎng)關(guān)型ARP欺騙欺騙者主機(jī)冒充其他主機(jī)對(duì)網(wǎng)關(guān)設(shè)備進(jìn)行欺騙第一章網(wǎng)吧常見故障99ARP欺騙攻擊目的PC1網(wǎng)關(guān)主機(jī)型網(wǎng)關(guān)型欺騙者為什么產(chǎn)生ARP欺騙攻擊？表象：網(wǎng)絡(luò)通訊中斷真實(shí)目的：截獲網(wǎng)絡(luò)通訊數(shù)據(jù)第一章網(wǎng)吧常見故障1010ARP欺騙攻擊緣何泛濫屢禁不止的ARP欺騙ARP欺騙的目的是截獲數(shù)據(jù)，例如銀行卡、游戲帳戶等，巨大的經(jīng)濟(jì)利益驅(qū)動(dòng)了ARP欺騙的發(fā)展ARP欺騙實(shí)現(xiàn)原理簡單，變種極多，通過病毒網(wǎng)頁或木馬程序即可傳播，殺毒軟件的更新不能及時(shí)跟上病毒的變種

ARP欺騙是由于協(xié)議缺陷造成的，業(yè)界鮮有良好的解決方案第一章網(wǎng)吧常見故障1111判斷ARP欺騙攻擊-主機(jī)怎樣判斷是否受到了ARP欺騙攻擊？網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)或網(wǎng)速特別慢在命令行提示符下執(zhí)行“arp–d”命令就能好上一會(huì)在命令行提示符下執(zhí)行“arp–a”命令查看網(wǎng)關(guān)對(duì)應(yīng)的MAC地址發(fā)生了改變第一章網(wǎng)吧常見故障1212判斷ARP欺騙攻擊-網(wǎng)關(guān)設(shè)備網(wǎng)關(guān)設(shè)備怎樣判斷是否受到了ARP欺騙攻擊？ARP表中同一個(gè)MAC對(duì)應(yīng)許多IP地址第一章網(wǎng)吧常見故障1313解決辦法：1、將感染病毒的PC從內(nèi)網(wǎng)斷開，查殺病毒。2、在PC和路由器上雙向綁定對(duì)方的IP和MAC地址。第一章網(wǎng)吧常見故障1414常見ARP欺騙“應(yīng)付”手段-雙向綁定手工設(shè)置靜態(tài)ARP表項(xiàng)靜態(tài)ARP優(yōu)先級(jí)高于動(dòng)態(tài)ARP表項(xiàng)分別在網(wǎng)關(guān)設(shè)備與用戶主機(jī)上配置靜態(tài)ARP表項(xiàng)工作維護(hù)量大，網(wǎng)關(guān)設(shè)備、用戶都需要進(jìn)行操作可有效解決ARP欺騙第一章網(wǎng)吧常見故障1515常見ARP欺騙“應(yīng)付”手段-ARP防火墻ARP防火墻軟件定期向網(wǎng)關(guān)發(fā)送GratuitousARP，以通告自己正確的ARP信息發(fā)送頻率過高嚴(yán)重占用網(wǎng)絡(luò)帶寬發(fā)送頻率過低則達(dá)不到防范目的惹禍的ARP防火墻對(duì)于異常多arp請(qǐng)求，請(qǐng)禁用xx防火墻的arp攻擊防御功能當(dāng)打開xx防火墻的arp防護(hù)功能時(shí),防火墻會(huì)以每秒1000個(gè)arp包的向外廣播,詢問同一個(gè)地址裝xx防火墻的主機(jī)在發(fā)現(xiàn)網(wǎng)上有ARP欺騙的時(shí)候會(huì)發(fā)送大量廣播包，致使正常網(wǎng)絡(luò)出現(xiàn)中斷不能解決ARP欺騙第一章網(wǎng)吧常見故障1616網(wǎng)吧常見故障（二）游戲卡現(xiàn)象：魔獸或者某一個(gè)游戲卡內(nèi)網(wǎng)診斷：1、單線路固定限速時(shí)，首先檢查是否有ACL阻斷了相應(yīng)的端口和流量,其次查看流量是否被占滿,如果條件允許，不經(jīng)過路由器單機(jī)測(cè)試游戲；2、單線路游戲優(yōu)先時(shí),在1的基礎(chǔ)查看特征庫是否是最新版本，確保是最新的特征庫，查看流量是否被識(shí)別成P2P流量；3、雙線路固定限速時(shí)，在單線路排查的基礎(chǔ)上，查看路由是否走錯(cuò)，網(wǎng)通的流量是否走到了電信.4、雙線路游戲優(yōu)先時(shí),按123的思路來排查.原因：ACL做了限制,沒有更新的特征庫,流量識(shí)別錯(cuò)誤,路由走錯(cuò)解決辦法：取消相應(yīng)的端口阻斷,升級(jí)特征庫，添加游戲端口號(hào),修改路由第一章網(wǎng)吧常見故障1717檢查ACL是否有阻斷查看流量是否占滿單線固定取消阻斷單機(jī)測(cè)試,抓包YNYN限速調(diào)整第一章網(wǎng)吧常見故障1818查看流量是否占滿：第一章網(wǎng)吧常見故障1919術(shù)語解釋：

Inbound:真實(shí)的上傳速度Outbound:真實(shí)的下載速度Receive_IN:需求的上傳速度Receive_OUT:需求的下載速度第一章網(wǎng)吧常見故障2020單線游戲檢查ACL是否有阻斷取消阻斷特征庫是否最新

查看流量是否識(shí)別成P2PYNNY升級(jí)特征庫第一章網(wǎng)吧常見故障2121特征庫的作用：P2P阻斷及游戲優(yōu)先功能都需要通過特征庫文件來識(shí)別的。如何檢查特征庫是否是最新：高級(jí)選項(xiàng)—系統(tǒng)：第一章網(wǎng)吧常見故障2222怎么查看內(nèi)網(wǎng)應(yīng)用：第一章網(wǎng)吧常見故障2323怎么查看應(yīng)用是否被識(shí)別成了P2P：第一章網(wǎng)吧常見故障2424怎么查看應(yīng)用是否被識(shí)別成了P2P：Router#shflowallflowcount:200000proinsideipportoutsideipportflow_appflow_groupflow_classUDP180030600028173UDP198006600028173根據(jù)顯示的信息，可以查看每條流的分類。以上字段說明如下：pro：流的協(xié)議類型。insideip：內(nèi)網(wǎng)pcip。port：內(nèi)網(wǎng)端口。outsideip：外網(wǎng)目的ip。port：外網(wǎng)目的端口。flow_app：流的具體應(yīng)用編號(hào)。flow_group：流的應(yīng)用分組。flow_class：流的應(yīng)用分類。第一章網(wǎng)吧常見故障2525解決辦法：添加游戲端口號(hào)：帶寬狀態(tài)—游戲優(yōu)先第一章網(wǎng)吧常見故障2626雙線固定檢查ACL是否有阻斷取消阻斷查看帶寬是否被占滿

調(diào)整限速YNNY查看路由是否走錯(cuò)第一章網(wǎng)吧常見故障2727如何查看路由選路錯(cuò)誤：通過telnet或者配置線的方式登錄到路由器中通過showipnattranslationssrc-ip進(jìn)行驗(yàn)證查看圖中藍(lán)色框體中表示您登陸該網(wǎng)站使用的是哪條線路（哪個(gè)公網(wǎng)IP地址），即您電信或網(wǎng)通的IP地址。圖中紅色框體中表示該網(wǎng)站的ip地址，冒號(hào)后面為登錄該網(wǎng)站使用的端口號(hào)。如果出現(xiàn)了選路錯(cuò)誤，即電信的網(wǎng)站從網(wǎng)通線路出去或網(wǎng)通的網(wǎng)站從電信線路出去，這時(shí)就需要手工添加靜態(tài)路由來控制路由選路問題。命令行添加方式：iproute0055--指向電信或網(wǎng)通網(wǎng)關(guān)第一章網(wǎng)吧常見故障28282確認(rèn)該IP地址是屬于電信還是網(wǎng)通的

您可以登陸ip138查詢第一章網(wǎng)吧常見故障2929雙線游戲檢查ACL是否有阻斷取消阻斷特征庫是否最新

查看路由是否走錯(cuò)YNNY升級(jí)特征庫第一章網(wǎng)吧常見故障3030雙線游戲優(yōu)先時(shí)：參見前三步排查思路綜合排查.第一章網(wǎng)吧常見故障3131網(wǎng)吧常見故障（三）端口映射不成功現(xiàn)象：端口映射配置后，外網(wǎng)也無法正常訪問內(nèi)網(wǎng)診斷：1、內(nèi)網(wǎng)映射的服務(wù)器是否可以上網(wǎng)2、內(nèi)網(wǎng)主機(jī)訪問服務(wù)器，是否能訪問3、嘗試映射其他端口，看是否能映射成功4、查看路由,如果是雙線，排查是否是來回路徑不一致造成5、抓包原因：1、網(wǎng)絡(luò)不通2、服務(wù)器端口沒打開3、端口被屏蔽4、ACL阻斷5、服務(wù)器自身問題第一章網(wǎng)吧常見故障3232解決辦法：1、確保網(wǎng)絡(luò)暢通2、確保配置無誤3、聯(lián)系運(yùn)營商確保端口不被屏蔽4、確保服務(wù)器本身無問題第一章網(wǎng)吧常見故障3333網(wǎng)吧常見故障（四）外網(wǎng)攻擊現(xiàn)象：內(nèi)網(wǎng)用戶斷線內(nèi)網(wǎng)診斷：1、ping路由器LAN口IP地址丟包，ping外網(wǎng)網(wǎng)關(guān)地址時(shí)丟包。2、ping路由器LAN口IP地址不丟包，ping外網(wǎng)網(wǎng)關(guān)地址不丟包，ping公網(wǎng)DNS地址時(shí)丟包。原因：運(yùn)營商接入設(shè)備有問題（modem、光收發(fā)器）、接入線路質(zhì)量問題、運(yùn)營商Internet總出口故障，遭受外界惡意攻擊.解決辦法：聯(lián)系運(yùn)營商解決,一般推薦在物理層沒問題的情況下更換IP.第一章網(wǎng)吧常見故障3434信息收集：showcpushowintshowlogshowrun第一章網(wǎng)吧常見故障3535網(wǎng)吧常見故障（五）cpu高現(xiàn)象：cpu經(jīng)常達(dá)到99%,造成內(nèi)網(wǎng)卡甚至斷網(wǎng)內(nèi)網(wǎng)診斷：1、ping路由器LAN口IP地址丟包，ping外網(wǎng)網(wǎng)關(guān)地址時(shí)丟包。2、無法正常登陸路由器.原因：1、內(nèi)外網(wǎng)攻擊2、路由器性能受限3、內(nèi)網(wǎng)有惡意上傳下載的流量解決辦法：1、嘗試登陸路由器，或者嘗試拔掉外網(wǎng)線，或內(nèi)網(wǎng)線登陸2、排查內(nèi)網(wǎng)，拒絕中病毒的主機(jī)接入網(wǎng)絡(luò)3、對(duì)客戶機(jī)進(jìn)行限速4、若是外網(wǎng)攻擊,更換IP地址第一章網(wǎng)吧常見故障3636信息收集：shlog:第一章網(wǎng)吧常見故障查看流量：若有某臺(tái)PC上行/下行流量與實(shí)際需要的上行/下行差別很大時(shí)（例，30的流量有異常情況），可以查看下這臺(tái)PC的NAT轉(zhuǎn)換情況，查看方式：NBR1200#showipnattrsr30第一章網(wǎng)吧常見故障查看接口信息：第一章網(wǎng)吧常見故障注意對(duì)應(yīng)關(guān)系：內(nèi)網(wǎng)口的input對(duì)應(yīng)外網(wǎng)口的output，外網(wǎng)口的input對(duì)應(yīng)內(nèi)網(wǎng)口的output,一般情況這兩個(gè)值相差很小，如果出現(xiàn)成倍的差別,很可能內(nèi)網(wǎng)攻擊造成，需要檢查網(wǎng)絡(luò)環(huán)境.第一章網(wǎng)吧常見故障PC上收集以下信息：在命令提示符下輸入：C:\DocumentsandSettings\ss〉ping//ping內(nèi)網(wǎng)網(wǎng)關(guān)地址C:\DocumentsandSettings\ss〉ping//ping外網(wǎng)網(wǎng)關(guān)地址C:\DocumentsandSettings\ss〉ping5//ping外網(wǎng)接口(wan口)地址C:\DocumentsandSettings\ss〉arp-a第一章網(wǎng)吧常見故障網(wǎng)吧常見故障（六）路由器主程序丟失現(xiàn)象：路由器不停重啟內(nèi)網(wǎng)診斷：內(nèi)網(wǎng)無法PING通路由器管理地址,無法登陸原因：操作不當(dāng)，環(huán)境原因造成主程序丟失解決方法：重新升級(jí)路由器網(wǎng)吧常見故障（七）web升級(jí)失敗現(xiàn)象：nbr使用web進(jìn)行升級(jí)時(shí)，升級(jí)失敗，但是還可以正常上網(wǎng)。原因：一般是由于升級(jí)文件名錯(cuò)誤、flash空間不足、網(wǎng)絡(luò)連通性，或者是flash讀寫錯(cuò)誤導(dǎo)致。解決方法：先命令行進(jìn)行碎片整理再重新升級(jí)，如果還是不行，則將flash進(jìn)行格式化再重新升級(jí)。格式化后需要使用命令行升級(jí)。操作方法詳見升級(jí)文檔。第一章網(wǎng)吧常見故障42網(wǎng)吧常見故障（八）域名過濾不生效現(xiàn)象：Nbrweb上添加了要過濾的域名，但是還可以正常訪問該域名原因：一般是由于添加的域名有誤，dns設(shè)置問題，解決方法：PC配置的主dns需要和路由器配置的dns一致；添加的域名不能帶http也不能帶路徑以下寫法是錯(cuò)誤的：ruijieruijie/service檢查主機(jī)是否有添加host條目。在測(cè)試的時(shí)候?yàn)榱吮ＷC結(jié)果的準(zhǔn)確性，建議使用ipconfig/flushdns清除一下dns緩存第一章網(wǎng)吧常見故障43網(wǎng)吧常見故障（九）nbr無法登陸管理界面現(xiàn)象：Nbr無法登陸web管理界面，上網(wǎng)一切正常原因：修改了web訪問的端口，添加了80端口的訪問控制列表，使用了禁止內(nèi)網(wǎng)web訪問的功能，web文件被破壞，網(wǎng)絡(luò)攻擊解決方法：如果是修改了web訪問的端口，改用x.x.x.x:port

登陸，或者命令行查看web端口取消ACL在接口上的應(yīng)用使用命令nosecuritydenylan-web允許內(nèi)網(wǎng)web訪問外網(wǎng)無法web訪問，更換web端口并且打開wan-web功能測(cè)試網(wǎng)頁打