1、案例分析 某電業(yè)局網(wǎng)絡(luò)故障診斷一、 故障描述故障地點(diǎn)：某電業(yè)局故障現(xiàn)象：網(wǎng)絡(luò)嚴(yán)重阻塞，內(nèi)部主機(jī)上網(wǎng)甚至內(nèi)部主機(jī)間的通訊均時(shí)斷時(shí)續(xù)。故障詳細(xì)描述：網(wǎng)絡(luò)突然出現(xiàn)通訊中斷，某些VLAN不能訪問(wèn)互聯(lián)網(wǎng)，且與其它VLAN的訪問(wèn)也會(huì)出現(xiàn)中斷，在機(jī)房中進(jìn)行ping包測(cè)試，發(fā)現(xiàn)中心交換機(jī)到該VLAN內(nèi)主機(jī)的ping包響應(yīng)時(shí)間較長(zhǎng)，且出現(xiàn)間歇性丟包，VLAN與VLAN間的丟包情況則更加嚴(yán)重。二、 故障詳細(xì)分析1. 前期分析初步判斷引起問(wèn)題的原因可能是：l 交換機(jī)ARP表更新問(wèn)題l 廣播或路由環(huán)路故障l 人為或病毒攻擊需要進(jìn)一步獲取的信息：l 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及正常工作時(shí)的情況l 交換機(jī)ARP表信息及交換機(jī)負(fù)載情況l

2、 網(wǎng)絡(luò)中傳輸?shù)脑紨?shù)據(jù)包2. 具體分析首先，我們從網(wǎng)絡(luò)管理員那兒，得知了網(wǎng)絡(luò)中主機(jī)共450臺(tái)左右，同時(shí)得到了網(wǎng)絡(luò)的簡(jiǎn)單拓?fù)鋱D，如圖1所示。（圖1網(wǎng)絡(luò)原始拓?fù)浜?jiǎn)圖）從圖1可以知道，網(wǎng)絡(luò)中劃分了6個(gè)VLAN，分別是10.230.201.0/24、10.230.202.0/24、10.230.203.0/24、10.230.204.0/24、10.230.205.0/24、10.230.206.0/24、，其中201205這5個(gè)VLAN分別用于一個(gè)部門(mén)，而206為服務(wù)器專(zhuān)用網(wǎng)段。各VLAN同時(shí)連接上中心交換機(jī)（Passport 8010），中心交換機(jī)再連接到防火墻，由防火墻連接到Internet以及

3、省單位。大致了解了網(wǎng)絡(luò)拓?fù)浜螅覀円猿?jí)終端方式登錄中心交換機(jī)，發(fā)現(xiàn)交換機(jī)的負(fù)載較大，立即清除交換機(jī)ARP表并重啟，但故障仍然存在，于是我們決定對(duì)網(wǎng)絡(luò)進(jìn)行抓包分析。在中心交換機(jī)（Passport 8010）上配置好端口鏡像（具體配置信息，略），并將安裝科來(lái)網(wǎng)絡(luò)分析系統(tǒng)的筆記本接到中心交換機(jī)的鏡像口上，安裝好后網(wǎng)絡(luò)的拓?fù)浜?jiǎn)圖如圖2所示。（圖2安裝科來(lái)網(wǎng)絡(luò)分析系統(tǒng)后的網(wǎng)絡(luò)拓?fù)浜?jiǎn)圖）由于科來(lái)網(wǎng)絡(luò)分析系統(tǒng)可以跨VLAN對(duì)數(shù)據(jù)進(jìn)行捕獲分析，所以在中心交換機(jī)上接入安裝科來(lái)網(wǎng)絡(luò)分析系統(tǒng)的筆記本后，網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)并未發(fā)生任何改變。打開(kāi)筆記本上的科來(lái)網(wǎng)絡(luò)分析系統(tǒng)，捕獲數(shù)據(jù)包約1分鐘（捕獲停止后發(fā)現(xiàn)確切時(shí)間是53

4、秒）后停止捕獲，并對(duì)捕獲到的數(shù)據(jù)通訊進(jìn)行分析。將節(jié)點(diǎn)瀏覽器定位到物理端點(diǎn)下的本地網(wǎng)段，我們發(fā)現(xiàn)MAC地址為00:00:E8:40:44:99的主機(jī)，下面共有40個(gè)IP地址，如圖3。（圖3定位本地網(wǎng)段的端點(diǎn)視圖）我們知道，在正常情況下，一個(gè)MAC地址下面出現(xiàn)多個(gè)IP地址，只可能有以下幾種情況之一：網(wǎng)關(guān)、代理服務(wù)器、手動(dòng)綁定多個(gè)IP地址。咨詢(xún)網(wǎng)絡(luò)管理員得知，該網(wǎng)段內(nèi)的機(jī)器均只綁定了一個(gè)MAC地址，且沒(méi)有代理服務(wù)器，同時(shí)該MAC也不是網(wǎng)關(guān)MAC地址，由此，我們懷疑，該主機(jī)可能存在欺騙攻擊。右鍵單擊圖3中的00:00:E8:40:44:99節(jié)點(diǎn)，在彈出的菜單中選擇“定位瀏覽器節(jié)點(diǎn)(L)”命令，將節(jié)點(diǎn)瀏

5、覽器中定位到00:00:E8:40:44:99。查看協(xié)議視圖，發(fā)現(xiàn)該節(jié)點(diǎn)主動(dòng)發(fā)起了22613個(gè)ARP回復(fù)數(shù)據(jù)包，而ARP請(qǐng)求數(shù)據(jù)包只有2個(gè)，如圖4所示。（圖400:00:E8:40:44:99主機(jī)通訊的協(xié)議分布）從圖4下面的數(shù)據(jù)包可以知道，00:00:E8:40:44:99主動(dòng)向網(wǎng)絡(luò)中的其它主機(jī)發(fā)出ARP回復(fù)數(shù)據(jù)包，內(nèi)容是告訴對(duì)方主機(jī)，自己是某個(gè)IP的主機(jī)，而這個(gè)IP在不斷地變化。由此可以斷定，MAC地址為00:00:E8:40:44:99的機(jī)器在進(jìn)行ARP欺騙。同時(shí)，診斷視圖的ARP診斷事件區(qū)時(shí)，也給出了相應(yīng)的提示信息，如圖5。（圖500:00:E8:40:44:99的ARP診斷信息）經(jīng)過(guò)上

6、面的分析，我們確定00:00:E8:40:44:99存在ARP欺騙攻擊，網(wǎng)管人員立刻開(kāi)始查找該主機(jī)，由于他們以前做了IP與MAC地址的統(tǒng)計(jì)表，所以很輕松地就找到了該機(jī)器。在二層交換機(jī)上撥掉該主機(jī)的網(wǎng)線，網(wǎng)絡(luò)很快恢復(fù)正常，VLAN間的內(nèi)部訪問(wèn)和外部訪問(wèn)（包括Internet和省網(wǎng)單位）速度均恢復(fù)正常。另外，從圖3的顯示可知，00:02:B0:BC:68:D2、00:0B:DB:4B:46:81、00:11:25:8D:7D:C1 三臺(tái)機(jī)器占用的流量較大，通過(guò)查看這幾臺(tái)機(jī)器的具體流量后，發(fā)現(xiàn)00:02:B0:BC:68:D2和00:0B:DB:4B:46:81在互相進(jìn)行數(shù)據(jù)拷貝，而00:11:25

7、:8D:7D:C1對(duì)應(yīng)的IP地址是10.230.204.1，它是10.230.204.0/24網(wǎng)段的網(wǎng)關(guān)，占用較量較大屬于正常情況。由此基本斷定網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)的根源即前面找出的00:00:E8:40:44:99主機(jī)。找出故障點(diǎn)，并幫助網(wǎng)絡(luò)恢復(fù)正常后，我們因?yàn)槠渌氖虑殡x開(kāi)了現(xiàn)場(chǎng)，并未去排查00:00:E8:40:44:99的具體情況。下午接到電業(yè)局網(wǎng)管人員的電話，告知在找到MAC地址為00:00:E8:40:44:99的主機(jī)時(shí)，該用戶僅在使用WORD進(jìn)行文檔編輯，并未人為的進(jìn)行攻擊，然后安裝防病毒軟件并對(duì)該主機(jī)進(jìn)行查殺，查出病毒若干，病毒查殺后，再次將該主機(jī)接入網(wǎng)絡(luò)，網(wǎng)絡(luò)通訊仍然正常。由此得出引發(fā)網(wǎng)絡(luò)故障的原因是MAC地址為00:00:E8:40:44:99的主機(jī)感染蠕蟲(chóng)病毒，該病毒自動(dòng)進(jìn)行ARP欺騙攻擊，導(dǎo)致網(wǎng)絡(luò)訪問(wèn)的時(shí)斷時(shí)續(xù)。三、 總結(jié)中大型網(wǎng)絡(luò)中，網(wǎng)絡(luò)故障錯(cuò)綜復(fù)雜，不借助專(zhuān)業(yè)網(wǎng)絡(luò)分析工具的情況下，很難對(duì)故障進(jìn)行排查，如本例中，如果不對(duì)數(shù)據(jù)包進(jìn)行捕獲，即使在交換機(jī)上查看流量，由于00:00:E8:40:44:99的流量并不特別大，所以我們也很難找到故障點(diǎn)。同時(shí)，由于此次捕獲數(shù)據(jù)包的時(shí)間較短，僅僅只有53秒，所以網(wǎng)絡(luò)中可能還存在一些未被檢測(cè)出問(wèn)題的主機(jī)（這些主機(jī)當(dāng)前未啟動(dòng)，不會(huì)收發(fā)相應(yīng)數(shù)據(jù)包