網(wǎng)絡(luò)故障案例-某出版社網(wǎng)絡(luò)故障
2022-07-23 17:09:42
62
網(wǎng)絡(luò)故障案例-某出版社網(wǎng)絡(luò)故障
時(shí)間地點(diǎn):
下午3點(diǎn)接到通知,在某出版社機(jī)房
故障現(xiàn)象:
網(wǎng)絡(luò)突然出現(xiàn)通訊中斷,網(wǎng)絡(luò)嚴(yán)重阻塞,內(nèi)部主機(jī)上網(wǎng)甚至內(nèi)部主機(jī)間的通訊均時(shí)斷時(shí)續(xù)。
--交換機(jī)ARP表更新問(wèn)題
--廣播或路由環(huán)路故障
--人為或病毒攻擊
需要進(jìn)一步獲取的信息:
--網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及正常工作時(shí)的情況
--交換機(jī)ARP表信息及交換機(jī)負(fù)載情況
下午3點(diǎn)接到通知,在某出版社機(jī)房
故障現(xiàn)象:
網(wǎng)絡(luò)突然出現(xiàn)通訊中斷,網(wǎng)絡(luò)嚴(yán)重阻塞,內(nèi)部主機(jī)上網(wǎng)甚至內(nèi)部主機(jī)間的通訊均時(shí)斷時(shí)續(xù)。
故障詳細(xì)分析:
1. 前期分析
初步判斷引起問(wèn)題的原因可能是:--交換機(jī)ARP表更新問(wèn)題
--廣播或路由環(huán)路故障
--人為或病毒攻擊
需要進(jìn)一步獲取的信息:
--網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及正常工作時(shí)的情況
--交換機(jī)ARP表信息及交換機(jī)負(fù)載情況
--網(wǎng)絡(luò)中傳輸?shù)脑紨?shù)據(jù)包
2. 具體分析
首先,我們從網(wǎng)絡(luò)管理員那兒,得知了網(wǎng)絡(luò)中主機(jī)共450臺(tái)左右,同時(shí)得到了網(wǎng)絡(luò)的簡(jiǎn)單拓?fù)鋱D,從圖中可以知道,網(wǎng)絡(luò)中劃分了6個(gè)VLAN,分別是10.230.201.0/24、10.230.202.0/24、10.230.203.0/24、10.230.204.0/24、10.230.205.0/24、10.230.206.0/24、,其中201~205這5個(gè)VLAN分別用于一個(gè)部門(mén),而206為服務(wù)器專用網(wǎng)段。各VLAN同時(shí)連接上中心交換機(jī)(Passport 8010),中心交換機(jī)再連接到防火墻,由防火墻連接到Internet以及省單位。大致了解了網(wǎng)絡(luò)拓?fù)浜螅覀円猿?jí)終端方式登錄中心交換機(jī),發(fā)現(xiàn)交換機(jī)的負(fù)載較大,立即清除交換機(jī)ARP表并重啟,但故障仍然存在,于是我們決定對(duì)網(wǎng)絡(luò)進(jìn)行抓包分析。在中心交換機(jī)(Passport 8010)上配置好端口鏡像(具體配置信息,略),并將安裝網(wǎng)絡(luò)分析系統(tǒng)的筆記本接到中心交換機(jī)的鏡像口上,由于我公司網(wǎng)絡(luò)分析系統(tǒng)可以跨VLAN對(duì)數(shù)據(jù)進(jìn)行捕獲分析,所以在中心交換機(jī)上接入安裝網(wǎng)絡(luò)分析系統(tǒng)的筆記本后,網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)并未發(fā)生任何改變。
打開(kāi)筆記本上的我公司網(wǎng)絡(luò)分析系統(tǒng),捕獲數(shù)據(jù)包約1分鐘(捕獲停止后發(fā)現(xiàn)確切時(shí)間是53秒)后停止捕獲,并對(duì)捕獲到的數(shù)據(jù)通訊進(jìn)行分析。
將節(jié)點(diǎn)瀏覽器定位到物理端點(diǎn)下的本地網(wǎng)段,我們發(fā)現(xiàn)MAC地址為00:00:E8:40:44:99的主機(jī),下面共有40個(gè)IP地址。
我們知道,在正常情況下,一個(gè)MAC地址下面出現(xiàn)多個(gè)IP地址,只可能有以下幾種情況之一:網(wǎng)關(guān)、代理服務(wù)器、手動(dòng)綁定多個(gè)IP地址。咨詢網(wǎng)絡(luò)管理員得知,該網(wǎng)段內(nèi)的機(jī)器均只綁定了一個(gè)MAC地址,且沒(méi)有代理服務(wù)器,同時(shí)該MAC也不是網(wǎng)關(guān)MAC地址,由此,我們懷疑,該主機(jī)可能存在欺騙攻擊。
經(jīng)過(guò)上面的分析,我們確定00:00:E8:40:44:99存在ARP欺騙攻擊,網(wǎng)管人員立刻開(kāi)始查找該主機(jī),由于他們以前做了IP與MAC地址的統(tǒng)計(jì)表,所以很輕松地就找到了該機(jī)器。在二層交換機(jī)上撥掉該主機(jī)的網(wǎng)線,網(wǎng)絡(luò)很快恢復(fù)正常,VLAN間的內(nèi)部訪問(wèn)和外部訪問(wèn)(包括Internet和省網(wǎng)單位)速度均恢復(fù)正常。
同時(shí),由于此次捕獲數(shù)據(jù)包的時(shí)間較短,僅僅只有53秒,所以網(wǎng)絡(luò)中可能還存在一些未被檢測(cè)出問(wèn)題的主機(jī)(這些主機(jī)當(dāng)前未啟動(dòng),不會(huì)收發(fā)相應(yīng)數(shù)據(jù)包,故無(wú)法查找)。所以,對(duì)于企業(yè)的網(wǎng)絡(luò)運(yùn)行,需要網(wǎng)絡(luò)管理人員使用專用的網(wǎng)絡(luò)分析工具,對(duì)網(wǎng)絡(luò)進(jìn)行長(zhǎng)期有效的監(jiān)測(cè)和分析,才可以最大程度地排除可能的網(wǎng)絡(luò)故障和網(wǎng)絡(luò)安全威脅。
打開(kāi)筆記本上的我公司網(wǎng)絡(luò)分析系統(tǒng),捕獲數(shù)據(jù)包約1分鐘(捕獲停止后發(fā)現(xiàn)確切時(shí)間是53秒)后停止捕獲,并對(duì)捕獲到的數(shù)據(jù)通訊進(jìn)行分析。
將節(jié)點(diǎn)瀏覽器定位到物理端點(diǎn)下的本地網(wǎng)段,我們發(fā)現(xiàn)MAC地址為00:00:E8:40:44:99的主機(jī),下面共有40個(gè)IP地址。
我們知道,在正常情況下,一個(gè)MAC地址下面出現(xiàn)多個(gè)IP地址,只可能有以下幾種情況之一:網(wǎng)關(guān)、代理服務(wù)器、手動(dòng)綁定多個(gè)IP地址。咨詢網(wǎng)絡(luò)管理員得知,該網(wǎng)段內(nèi)的機(jī)器均只綁定了一個(gè)MAC地址,且沒(méi)有代理服務(wù)器,同時(shí)該MAC也不是網(wǎng)關(guān)MAC地址,由此,我們懷疑,該主機(jī)可能存在欺騙攻擊。
經(jīng)過(guò)上面的分析,我們確定00:00:E8:40:44:99存在ARP欺騙攻擊,網(wǎng)管人員立刻開(kāi)始查找該主機(jī),由于他們以前做了IP與MAC地址的統(tǒng)計(jì)表,所以很輕松地就找到了該機(jī)器。在二層交換機(jī)上撥掉該主機(jī)的網(wǎng)線,網(wǎng)絡(luò)很快恢復(fù)正常,VLAN間的內(nèi)部訪問(wèn)和外部訪問(wèn)(包括Internet和省網(wǎng)單位)速度均恢復(fù)正常。
總結(jié):
中大型網(wǎng)絡(luò)中,網(wǎng)絡(luò)故障錯(cuò)綜復(fù)雜,不借助專業(yè)網(wǎng)絡(luò)分析工具的情況下,很難對(duì)故障進(jìn)行排查,如本例中,如果不對(duì)數(shù)據(jù)包進(jìn)行捕獲,即使在交換機(jī)上查看流量,由于00:00:E8:40:44:99的流量并不特別大,所以我們也很難找到故障點(diǎn)。同時(shí),由于此次捕獲數(shù)據(jù)包的時(shí)間較短,僅僅只有53秒,所以網(wǎng)絡(luò)中可能還存在一些未被檢測(cè)出問(wèn)題的主機(jī)(這些主機(jī)當(dāng)前未啟動(dòng),不會(huì)收發(fā)相應(yīng)數(shù)據(jù)包,故無(wú)法查找)。所以,對(duì)于企業(yè)的網(wǎng)絡(luò)運(yùn)行,需要網(wǎng)絡(luò)管理人員使用專用的網(wǎng)絡(luò)分析工具,對(duì)網(wǎng)絡(luò)進(jìn)行長(zhǎng)期有效的監(jiān)測(cè)和分析,才可以最大程度地排除可能的網(wǎng)絡(luò)故障和網(wǎng)絡(luò)安全威脅。