《X电业局网络故障诊断案例分析.docx》由会员分享,可在线阅读,更多相关《X电业局网络故障诊断案例分析.docx(7页珍藏版)》请在第壹文秘上搜索。
1、案例分析一某电业局网络故障诊断一、故障描述故障地点:某电业局故障现象:网络严重阻塞,内部主机上网甚至内部主机间的通讯均时断时续。故障详细描述:网络突然出现通讯中断,某些V1.AN不能访问互联网,且与其它V1.AN的访问也会出现中断,在机房中进行ping包测试,发现中心交换机到该V1.AN内主机的ping包响应时间较长,且出现间歇性丢包,V1.AN与V1.AN间的丢包情况则更加严重。故障详细分析1 .前期分析初步判断引起问题的原因可能是: 交换机ARP表更新问题 广播或路由环路故障 人为或病毒攻击需要进一步获取的信息: 网络拓扑结构及正常工作时的情况 交换机ARP表信息及交换机负载情况 网络中传
2、输的原始数据包2 .具体分析首先,我们从网络管理管控员那儿,得知了网络中主机共450台左右,同时得到了网络的简单拓扑图,如图1所示。10.230.204.0/24服务器群_J(图1网络原始拓扑简图)从图1可以知道,网络中划分了6个V1.AN,分别是10.230.201以24、10.230.202.0/24、10.230.203.0/24、10.230.204.0/24、10.230.205.0/2410.230.206.0/24、,其中201205这5个V1.AN分别用于一个部门,而206为服务器专用网段。各V1.AN同时连接上中心交换机(Passport8010),中心交换机再连接到防火墙,
3、由防火墙连接到Intenlet以及省单位。大致了解了网络拓扑后,我们以超级终端方式登录中心交换机,发现交换机的负载较大,立即清除交换机ARP表并重启,但故障仍然存在,于是我们决定对网络进行抓包分析。在中心交换机(PaSSPort8010)上配置好端口镜像(具体配置信息,略),并将安装科来网络分析系统的笔记本接到中心交换机的镜像口上,安装好后网络的拓扑简图如图2所示。(图2安装科来网络分析系统后的网络拓扑简图)由于科来网络分析系统可以跨V1.AN对数据进行捕获分析,所以在中心交换机上接入安装科来网络分析系统的笔记本后,网络的拓扑结构并未发生任何改变。打开笔记本上的科来网络分析系统,捕获数据包约1
4、分钟(捕获停止后发现确切时间是53秒)后停止捕获,并对捕获到的数据通讯进行分析。将节点浏览器定位到物理端点下的本地网段,我们发现MAC地址为00:00:E8:40:44:99的主机,下面共有40个IP地址,如图3。目回圆品送蕊过盘网盛费日昼费诊&玄置s过JUJCOOAEB2DW47.t)00OAEB2DD6A珊8OEAS30:846ag00H:09:32:C8:2C面MBoO3:6138:10.B75+诊断i点饿议saas图表芟出All本除网GMK直134800.88:4044钝(0)288MMQ75088E840KES900000E840:37D2.813WFroC十NjlOOOBDB.4B
5、.46816!igCOBOC.4I.38.BC*30008T4CO85JbCOOAEB55BAIS00OAEB556055/00OAEBSSSCj|00:0A:EB:55:Sr92i3.0AEB55.I5A9婚OooAEB.550F9IaoOoAEB55X66000OAEB55811鱼tfOAEBSSSZSOr9tf0010:5A:SC:U16心OoSoBAs3:47,A3COSO.BA.63.41婚CQCCWHC68C|118472S6NB858,3121爸400K510,912,心OOOBDBB:45:81|?769MB545,7490t30Il258DTDC1|297绽HB559,543
6、4722M68,1/,绸COCHDClE:62:01I61205237,双91.312K16.154MJKo00TOTC*BKI33013NB40,91112528MS2T*J)CO103FPB4C9|23405IB24,423443BVpxSt13903M.73.01623NB5,6690VpxTU年妙位叩OO8E8158951Rse1.892,512-J本地网段用航S接A95,4TS绸COOCT.6T.5.OOMCOIl谷891就炉数更包I610HB1459RB1中Q耶5,0776,0966.网28.592KlpsQW工程伏锭9X数需也过海疆未使用除候初8但0持分的数需包仲4妻矢的敢起国0
7、三55Se拒典泄露包0住存使用率目标大小w三143956700:00:8:40:44:99FF:TTzTT:FT:FF:FF640.136.136.16在00:00:E8:40:44:9A143976100:00:18:40:44:9900:04:DC:1E:62:016410.230.203.39在00:00:8:40:44:99143977400:00:18:40:44:9900:50:BA:F4:OC:X6410.Z30.Z03.ZS4在00:00:18:40:44:99143977500:00:8:40:44:9900:04:DC:1E:62:016410.230.203.62在00:
8、00:6:40:44:991439785143978600:00:8:40:44:9900:00:8:40:44:9900:OA:CB:7B:25:A400:MtDCslE:62:01646410.230.203.254在00:00:18:40:44:9910.230.203.170在00:00:28:40:44:9914397%00:00:18:40:44:99FF:FF:F7:FF:FT:FF640.136.136.16在00:00:E8:40:44:9A143993900:00:8:40:44:99FF:FF:rF:FT:Ff:FF640.136.136.16在00:00:26:40:4
9、4:9A144001800:00:18:40:44:9900:04:DC:1E:62:016410.230.203.39%00:00:E8:40:44:99144003100:00:8:40:44:990O:S0:BA:F4:0C:3C6410.230.203.2S4在00:00:26:40:44:99144003200:00:E8:40:44:9900:04:DC:1E:62:016410.230.203.62在00:00:E8:40:44:99144003900:00:8:40:44:9900:DA:EB:7B:2S:A46410.23O.203.2S4在00:00:8:40:44:991
10、44004000:00:18:40:44:9900:04:DC:1E:62:016410.230.203.170S00:00:Z8:40:44:99OO00E8404499AK3.!63/27,056窗。O因日国守0gJl程1.scproj-科来冏络分析不统停止-本地网段文件Or)查看0)工程,)IA)s)Wfeoo(图3定位本地网段的端点视图)我们知道,在正常情况下,一个MAC地址下面出现多个IP地址,只可能有以下几种情况之一:网关、代理服务器、手动绑定多个IP地址。咨询网络管理管控员得知,该网段内的机器均只绑定了一个MAC地址,且没有代理服务器,同时该MAC也不是网关MAC地址,由此,我们
11、怀疑,该主机可能存在欺骗攻击。右键单击图3中的00:00:E8:40:44:99节点,在弹出的菜单中选择“定位浏览器节点(1.)”命令,将节点浏览器中定位到00:00:E8:40:44:99。查看协议视图,发现该节点主动发起了22613个ARP回复数据包,而ARP请求数据包只有2个,如图4所示。BE工程1.scproj-科索网络分析不统停止00:00:E8:40:44:99文件Or)(j)查看(V)工程,)IA)W()招助00金益H品盅息。展品温S过久附篇ss凄自iK三名字表熠嚣J表地项?届节点瓯副9X帆襄统计诊断.5连投数名包a图我DW00OAEB2DW47O)A蔺f00OAEB20Z36A
12、(1)金叩OoOEAS30X46(1)*3000:11:09:32:CS:2CQ)3回等面.OooOE840协说5SW51数籍色总就Ji*we*I,iEthrtII27,066100OOCW1000001即Oo3:6138.10R(1)J=ag00E8.40.4499(40)SH30000E8403750)S丁M(FI380I22.615702ISI83588、丁R“P3.1.30VB22,613TO2tW*63.57丸128B20CC60007、,叩88E84OKZS0)a*0000E84037DZ(!)Jatf00138PU11OC)3七期OOoBDBQB:46&1七igB0.C.4B.3
13、6.BC(1)-aN30008:74:41:00:85(1)amJOOOAEB55W15G)阖VdOOOABBSS6055G)*1000AEB:55:SCC)牝apOO:OA:EB:5S:Sr92Q)aM0OO.OA.EB.55.ZSA(1)S婚OOoAEB.55.电加(1)S绚8OAEB55M66(1)电8OAEB552Bl(Dmj)OAEBSS5ZSO0)七型Oo10:$A:5C:llW0)aS99S69KB4.4412970SX16.414上丁”?54T.3T5O0922?IflZI15124、宇UDPISI.890n34325?12751ICiP312B复数Je包照碰尊&印曲OOOOK8404499KvJft累但I.094/22,613滨号目既大小IfiSA1439567143976100:00:8:40:44:9900:00:8:40:44:99FF: