返回
案例分析-某中学网络故障诊断

案例分析-某中学网络故障诊断

ID:18821456

大小:328.50 KB

页数:6页

时间:2018-09-21

案例分析-某中学网络故障诊断_第1页
案例分析-某中学网络故障诊断_第2页
案例分析-某中学网络故障诊断_第3页
案例分析-某中学网络故障诊断_第4页
案例分析-某中学网络故障诊断_第5页
资源描述:

《案例分析-某中学网络故障诊断》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、某中学网络故障诊断案例分析-某中学网络故障诊断一、故障描述故障地点:江苏省某中学校园网故障现象:严重网络阻塞,客户机之间相互ping时严重丢包,校园网用户访问互联网的速度非常慢,甚至不能访问。故障详细描述:整个校园网突然出现网络通讯中断,内部用户均不能正常访问互联网,在机房中进行ping包测试时发现,中心机房客户机对中心交换机管理地址的ping包响应时间较长且出现随机性丢包,主机房客户机对二级交换机通讯的通讯丢包情况更加严重。二、故障详细分析1.前期分析初步判断引起问题的原因可能是:l交换机ARP表更新问题l广

2、播或路由环路故障l病毒攻击需要进一步获取的信息:lARP信息l交换机负载l网络中传输的原始数据包2.故障具体分析排查开始实际具体排查工作:1.在主机房的客户机和以下的客户机上分别使用“arp–a”命令查看ARP缓存信息,成都科来软件有限公司电话:028-85120922Email:sales@colasoft.com.cnhttp://www.colasoft.com.cn传真:028-85120911support@colasoft.com.cn6/6某中学网络故障诊断结果正常;1.登录中心交换机查看各端口的

3、流量,由于交换机反应速度较慢,操作超时,无法获得负载的实际流量;2.使用科来网络分析系统5.0捕获并分析网络中传输的数据包,具体过程如下。在中心交换机上做好端口镜像配置操作,并将分析用笔记本接到此端口上,启动科来网络分析系统5.0捕获分析网络的数据通讯,约2.5分钟后停止捕获并分析捕获到的数据包。XX中学校园网的主机约为1000台,一般情况下,同时在线的有600台左右。在停止捕获后,我们在科来网络分析系统5.0主界面左边的节点浏览器中发现,内部网络(Private-UseNetworks)同时在线的IP主机达到

4、了6515台,如图1,这表示网络存在许多伪造的IP主机,网络中可能存在伪造IP地址攻击或自动扫描攻击。选择连接视图,发现在约2.5分钟的时间内网络中共发起了3027个连接,且状态大多都是客户端请求同步,即三次握手的第一步,由TCP工作原理可知,TCP工作时首先通过三次握手发起连接,如果请求端向不存在的目的端发起了同步请求,由于不会收到目的端主机的确认回复,其状态将会一直处于请求同步直到超时断开,据此,我们现在更加断定校园网中存在自动扫描攻击。详细查看图1的连接信息,发现这些连接大多都是由192.168.5.11

5、9主机发起,即连接的源地址是192.168.5.119。选中源地址是192.168.5.119的任意一个连接,单击鼠标右键,在弹出的右键菜单中选择“定位浏览器节点>>端点1IP”,这时节点浏览器将自动定位到192.168.5.119主机。成都科来软件有限公司电话:028-85120922Email:sales@colasoft.com.cnhttp://www.colasoft.com.cn传真:028-85120911support@colasoft.com.cn6/6某中学网络故障诊断(图1网络中的TCP连

6、接信息)选择图表视图,并选中TCP连接子视图项,查看192.168.5.119主机的TCP连接情况,如图2所示。查看图2可知,192.168.5.119这台主机在约2.5分钟的时间内发起了2800个连接,且其中有2793个连接都是初始化连接,即同步连接,这表示192.168.5.119主机肯定存在自动扫描攻击。(图2 192.168.2.119主机的TCP连接信息)选择数据包视图查看192.168.5.119传输数据的原始解码信息,如图3。从图3可知,这些数据包的大小都是66字节,协议都是CIFS,源地址都是1

7、92.168.5.119,而目标地址则随机产生,目标端口都是445,且数据包的TCP标记位都将同步位置1,这说明192.168.5.119这台机器正在主动对网络中主机的TCP445端口进行扫描攻击,原因可能是192.168.5.119主机感染病毒程序,或者是人为使用扫描软件进行攻击。成都科来软件有限公司电话:028-85120922Email:sales@colasoft.com.cnhttp://www.colasoft.com.cn传真:028-85120911support@colasoft.com.cn

8、6/6某中学网络故障诊断(图3 192.168.2.119主机的数据包解码信息)找到问题的根源后,正准备对192.168.5.119主机进行隔离,这时因其它事情中断分析工作约10分钟左右。继续工作,隔离192.168.5.119主机的同时再次将启动科来网络分析系统5.0捕获分析网络的数据通讯,约2.5分钟后停止捕获并分析捕获到的数据包。分析捕获到的数据包,网络中又出现了3台与192.1

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。