【51CTO.com 綜合報道】故障描述

故障地點：

河南省許昌某網(wǎng)吧

網(wǎng)絡(luò)環(huán)境：

網(wǎng)吧大概有200臺電腦，采用雙WAN出口（電信和網(wǎng)通）訪問互聯(lián)網(wǎng)，網(wǎng)絡(luò)結(jié)構(gòu)較為簡單，外網(wǎng)   路由器   主交換機(jī)   二層交換機(jī)   客戶端。

故障詳細(xì)描述：

同時接上兩個外網(wǎng)出口時，整個網(wǎng)絡(luò)訪問通訊出現(xiàn)異常，網(wǎng)絡(luò)速度異常緩慢，很多用戶甚至不能上網(wǎng)，在客戶端進(jìn)行ping包測試時發(fā)現(xiàn)，本地客戶端嚴(yán)重丟包，斷開網(wǎng)通的外網(wǎng)出口，網(wǎng)絡(luò)卻又恢復(fù)正常，ping包測試也無異常。

故障分析

由于在斷開網(wǎng)通的線路后，網(wǎng)絡(luò)訪問正常，初步懷疑是網(wǎng)通線路問題，于是用筆記本單獨接網(wǎng)通線路測試，一切正常，所以首先排除了網(wǎng)通線路的問題。在排除線路問題后，我們將問題重點放在了內(nèi)網(wǎng)主機(jī)檢查上。由于網(wǎng)絡(luò)速度緩慢并且出現(xiàn)斷網(wǎng)的情況，所以懷疑網(wǎng)絡(luò)中有主機(jī)感染ARP或其他蠕蟲病毒攻擊導(dǎo)致網(wǎng)絡(luò)癱瘓，于是決定用科來網(wǎng)絡(luò)分析系統(tǒng)抓包分析，在中心交換機(jī)上做好端口鏡像，在筆記本上安裝科來網(wǎng)絡(luò)分析系統(tǒng)，將筆記本接到中心交換機(jī)的端口上，啟動科來網(wǎng)絡(luò)分析系統(tǒng)開始捕獲數(shù)據(jù)，約6分鐘后停止捕獲并分析捕獲到的數(shù)據(jù)包。

我們首先了解網(wǎng)絡(luò)的整體運行狀態(tài)，在概要統(tǒng)計視圖中可以看到：網(wǎng)絡(luò)的總共流量為1.828GB，而利用率則達(dá)到了近80％，這是網(wǎng)絡(luò)緩慢的一個重要指示參數(shù)。我們再看TCP的參數(shù)信息，此處，TCP的同步數(shù)據(jù)包與結(jié)束連接數(shù)據(jù)包分別是17796和9963個，由TCP的工作原理我們知道，TCP在工作時首先會通過三次握手建立連接，數(shù)據(jù)傳輸完成后，必須關(guān)閉連接，在建立握手的時候，會產(chǎn)生2個同步數(shù)據(jù)包，而關(guān)閉連接的時候，也會產(chǎn)生2個同步數(shù)據(jù)包，所以，理論情況下，1個TCP連接的同步數(shù)據(jù)包與結(jié)束連接數(shù)據(jù)包應(yīng)該大致相等，如果二者的數(shù)據(jù)包相差較大，說明當(dāng)前的網(wǎng)絡(luò)傳輸不正常。如圖1。 

圖1

選擇端點視圖，我們發(fā)現(xiàn)，IP地址為192.168.1.2這臺主機(jī)的網(wǎng)絡(luò)連接數(shù)較多，并且流量也比較大，所以，我們定位這個IP，單獨對其分析。

在節(jié)點瀏覽器中選擇192.168.1.2，打開矩陣連接視圖，我們看到，該主機(jī)的通訊主機(jī)數(shù)達(dá)到了1000個，并且很大一部分為單向流量，如圖2。 

圖2

打開圖表視圖，我們查看該主機(jī)的TCP連接情況。從中可以看到，該主機(jī)的TCP同步數(shù)據(jù)包、結(jié)束連接數(shù)據(jù)包以及復(fù)位數(shù)據(jù)包的比例，如圖3。 

圖3

打開會話視圖，查看該主機(jī)的TCP會話情況，如圖4。 

圖4

在該主機(jī)的TCP通訊中，我們可以看到：該主機(jī)嘗試通過不同的端口試圖與其他IP建立連接，發(fā)送的數(shù)據(jù)包大小均為246B，但是，并沒有收到目標(biāo)主機(jī)的任何回應(yīng)數(shù)據(jù)包，這說明，其發(fā)送的同步數(shù)據(jù)包被目標(biāo)主機(jī)復(fù)位終止了連接或目標(biāo)主機(jī)均為異常的IP地址，是該主機(jī)感染病毒后隨機(jī)向其他主機(jī)發(fā)送同步連接數(shù)據(jù)包以試圖感染其他主機(jī)。所以，綜合以上的判斷，我們確定，192.168.1.2這個主機(jī)感染蠕蟲病毒，正在發(fā)送大量的數(shù)據(jù)包進(jìn)行掃描以試圖感染其他主機(jī)。

通過類似的方法，我們發(fā)現(xiàn)：192.168.1.94這個IP也存在同樣的行為，不過，掃描方法由TCP掃描變?yōu)榱薝DP掃描，目標(biāo)主機(jī)也基本是內(nèi)網(wǎng)IP，并且，其發(fā)包的頻率也非常快，1秒左右的時間就會發(fā)起10個同樣的數(shù)據(jù)包，以試圖攻擊或感染其他主機(jī)，對網(wǎng)絡(luò)帶寬的耗費是非常嚴(yán)重的。如圖5和圖6。 

圖5

圖6

其次，通過UDP會話，我們還發(fā)現(xiàn)，IP地址為192.168.1.13的這個主機(jī)也存在異常情況，該主機(jī)基本全是接收的數(shù)據(jù)包并沒有發(fā)送數(shù)據(jù)包，外網(wǎng)IP不斷嘗試連接該主機(jī)的3325端口，這就說明，該主機(jī)感染了木馬病毒或正在被攻擊。如圖7。

圖7

綜合以上分析，我們對192.168.1.2、192.168.1.94以及192.168.1.13進(jìn)行了斷網(wǎng)隔離，再同時接上電信以及網(wǎng)通雙出口，網(wǎng)絡(luò)未發(fā)現(xiàn)異常；同時，對這3臺主機(jī)進(jìn)行檢查，發(fā)現(xiàn)192.168.1.2與192.168.1.94感染病毒，而192.168.1.13則被植入木馬，從而導(dǎo)致網(wǎng)絡(luò)幾近癱瘓。至此，通過科來網(wǎng)絡(luò)分析系統(tǒng)對網(wǎng)絡(luò)通訊的分析，網(wǎng)絡(luò)故障全面排除。