返回
抓包分析_xx银行大楼局域网arp故障处理

抓包分析_xx银行大楼局域网arp故障处理

ID:1632447

大小:238.00 KB

页数:3页

时间:2017-11-12

抓包分析_xx银行大楼局域网arp故障处理_第1页
抓包分析_xx银行大楼局域网arp故障处理_第2页
抓包分析_xx银行大楼局域网arp故障处理_第3页
资源描述:

《抓包分析_xx银行大楼局域网arp故障处理》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、经验分享_XX银行大楼局域网故障处理2011年初开始在XX银行XX省分行办公大楼值守,大楼局域网出现办公终端Ping东郊机房OA服务器偶尔有丢包的问题,经现场察看设备信息,以及镜像抓包分析,定位问题原因为部分办公终端瞬间发出大量arp报文导致核心交换机CPU瞬时升高,从而造成局域网瞬间丢包,现就问题的详细分析过程如下:1.【问题描述】问题的具体现象是:东风大楼的办公网办公终端ping网关,或者ping服务器,正常情况下无丢包,延时也在10ms以内,偶尔会出现延时增大到100ms以上并出现丢包,造成计算机的弹出画面暂时卡住,几秒到一分钟之后自动恢复。连线客户端每隔一段时

2、间,会提示MaCfee病毒库过期,而客户端已经设置了自动更新,且自动更新为上班期间,主要集中在每日下午四点到五点。具体的丢包情况如下:最初40楼反映计算机瞬间卡住的问题反映,当时登陆交换机时的接入交换机的状态和瞬间卡住的时候PINGOA服务器和网管的网络延时均连续而稳定。从3月14号下午四点到五点之间PINGOA服务器和OA服务器网关的延时统计如下图所示:终端Ping网关56.0.160.98,ping包4033个,丢包9个,丢包率0%,终端PingOA服务器56.0.160.16,ping包4025个,丢包11个,丢包率0%。以下为3月17号下午4点半到5点存在少量

3、的ARP告警的条件下测试OA服务器与网关延时统计:从3月14号下午四点到五点之间PINGOA服务器和OA服务器网关的延时统计如下图所示:Ping网关56.0.160.98,ping包1365个,丢包2个,丢包率0%,PingOA服务器56.0.160.16,ping包1393个,丢包0个,丢包率0%。2.【问题原因】1.在办公终端ping网关或者服务器出现丢包的瞬间在网关设备及H3CS9508交换机上查看CPU任务,开启交换机设备的隐藏命令,发现处理ARP报文的进程耗费CPU资源急剧上升,如下:[GD_DL_SW11-hidecmd]_distask6IDNamePr

4、iorityStatusCPUTime1WEIL10Ready7/11……30L2PS100Delay1/10631DL3100EventSem98/221……36ESFP11Delay1/2而在正常时该进程耗费cpu如下:[GD_DL_SW11-hidecmd]_distask631DL3100EventSem1/221同时在S9508上查看设备log,发现存在arp攻击告警,部分告警如下:%Mar1618:11:012011GD_DL_SW11DIAGCLI/5/LOG_WARN:Slot=6;DetectARPattackfromMAC0021-97c2-2e8

5、b,VLAN:54,GigabitEthernet6/1/10!%Mar1618:10:432011GD_DL_SW11MSTP/3/NOTIFIEDTC:Instance0'sportGigabitEthernet6/1/5notifiedtopologychange!%Mar1618:10:112011GD_DL_SW11DIAGCLI/5/LOG_WARN:Slot=6;DetectARPattackfromMAC0016-ec3f-4a02,VLAN:54,GigabitEthernet6/1/10!全部的告警见附件:针对告警出现的几个mac地址,在交换机上对

6、其镜像抓包,抓包时间为10分钟,在S9508log提示0021-97c2-2e8b出现攻击的时候该办公终端在100ms之内发出了240个arp请求报文,另一个mac0016-ec3f-4a02也在100ms之内发出240个左右的arp请求报文。2.经过查询,全省的MaCfee杀毒软件自动更新时间全部都是下午五点之前那段时间,此时也到了下班的时间,大量的客户端在同时更新病毒库,可能会有部分MaCfee客户端在下班前升级不成功,当未成功升级天数超出策略系统限制阈值时,客户会收到不满足安全策略的告警信息。策略未满足的前提下访问受限的资源,将会收到被拒绝的提示信息。3.主机较

7、为陈旧硬件配置已达不到应用要求(CPU单、物理内存不够);开启多个任务时,物理内存已全部耗尽,虚拟内存也已经使用了近一半的资源,CPU利用率也达到60%已上,主机的运行状态已达到性能瓶颈,因此会出现访问网络资源慢的问题。在加上杀毒软件和防火墙的过滤,导致性能进一步下降。1.【问题分析】综合以上分析,可以得出结论:大楼局域网内部分办公终端怀疑中病毒(已经基本查出其IP地址和MAC地址),导致这些办公终端或是下联的HUB会不定时的在很短的时间内(100ms内)发出数百个arp报文,导致核心交换机或是接入交换机cpu瞬间升高,但未超出40%,最终导致局域网

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。