案例分析 - 许昌某网吧网络故障诊断.doc

1、 许昌某网吧网络故障诊断成都科来软件有限公司 电话：028-85120922 Email：http:/ 传真：028-85120911 1 / 6案例分析 许昌某网吧网络故障诊断故障描述故障地点：河南省许昌某网吧网络环境：网吧大概有 200 台电脑，采用双 WAN 出口（电信和网通）访问互联网，网络结构较为简单，外网 路由器 主交换机 二层交换机 客户端。故障详细描述：同时接上两个外网出口时，整个网络访问通讯出现异常，网络速度异常缓慢，很多用户甚至不能上网，在客户端进行 ping 包测试时发现，本地客户端严重丢包，断开网通的外网出口，网络却又恢复正常，ping 包测试也无异常。故障分析由于在断

2、开网通的线路后，网络访问正常，初步怀疑是网通线路问题，于是用笔记本单独接网通线路测试，一切正常，所以首先排除了网通线路的问题。在排除线路问题后，我们将问题重点放在了内网主机检查上。由于网络速度缓慢并且出现断网的情况，所以怀疑网络中有主机感染 ARP 或其他蠕虫病毒攻击导致网络瘫痪，于是决定用科来网络分析系统抓包分析，在中心交换机上做好端口镜像，在笔记本上安装科来网络分析系统，将笔记本接到中心交换机的端口上，启动科来网络分析系统开始捕获数据，约 6 分钟后停止捕获并分析捕获到的数据包。我们首先了解网络的整体运行状态，在概要统计视图中可以看到：网络的总共流量为1.828GB，而利用率则达到了近 8

3、0，这是网络缓慢的一个重要指示参数。我们再看 TCP的参数信息，此处，TCP 的同步数据包与结束连接数据包分别是 17796 和 9963 个，由TCP 的工作原理我们知道，TCP 在工作时首先会通过三次握手建立连接，数据传输完成后，必须关闭连接，在建立握手的时候，会产生 2 个同步数据包，而关闭连接的时候，也会产生 2 个同步数据包，所以，理论情况下，1 个 TCP 连接的同步数据包与结束连接数据包应该大致相等，如果二者的数据包相差较大，说明当前的网络传输不正常。如图 1。许昌某网吧网络故障诊断成都科来软件有限公司 电话：028-85120922 Email：http:/ 传真：028-85

4、120911 2 / 6图 1选择端点视图，我们发现，IP 地址为 192.168.1.2 这台主机的网络连接数较多，并且流量也比较大，所以，我们定位这个 IP，单独对其分析。在节点浏览器中选择 192.168.1.2，打开矩阵连接视图，我们看到，该主机的通讯主机数达到了 1000 个，并且很大一部分为单向流量，如图 2。许昌某网吧网络故障诊断成都科来软件有限公司 电话：028-85120922 Email：http:/ 传真：028-85120911 3 / 6图 2打开图表视图，我们查看该主机的 TCP 连接情况。从中可以看到，该主机的 TCP 同步数据包、结束连接数据包以及复位数据包的比

5、例，如图 3。许昌某网吧网络故障诊断成都科来软件有限公司 电话：028-85120922 Email：http:/ 传真：028-85120911 4 / 6图 3打开会话视图，查看该主机的 TCP 会话情况，如图 4。许昌某网吧网络故障诊断成都科来软件有限公司 电话：028-85120922 Email：http:/ 传真：028-85120911 5 / 6图 4在该主机的 TCP 通讯中，我们可以看到：该主机尝试通过不同的端口试图与其他 IP 建立连接，发送的数据包大小均为 246B，但是，并没有收到目标主机的任何回应数据包，这说明，其发送的同步数据包被目标主机复位终止了连接或目标主机均

6、为异常的 IP 地址，是该主机感染病毒后随机向其他主机发送同步连接数据包以试图感染其他主机。所以，综合以上的判断，我们确定，192.168.1.2 这个主机感染蠕虫病毒，正在发送大量的数据包进行扫描以试图感染其他主机。通过类似的方法，我们发现：192.168.1.94 这个 IP 也存在同样的行为，不过，扫描方法由TCP 扫描变为了 UDP 扫描，目标主机也基本是内网 IP，并且，其发包的频率也非常快， 1秒左右的时间就会发起 10 个同样的数据包，以试图攻击或感染其他主机，对网络带宽的耗费是非常严重的。如图 5 和图 6。图 5许昌某网吧网络故障诊断成都科来软件有限公司 电话：028-851

7、20922 Email：http:/ 传真：028-85120911 6 / 6图 6其次，通过 UDP 会话，我们还发现，IP 地址为 192.168.1.13 的这个主机也存在异常情况，该主机基本全是接收的数据包并没有发送数据包，外网 IP 不断尝试连接该主机的 3325 端口，这就说明，该主机感染了木马病毒或正在被攻击。如图 7。图 7综合以上分析，我们对 192.168.1.2、192.168.1.94 以及 192.168.1.13 进行了断网隔离，再同时接上电信以及网通双出口，网络未发现异常；同时，对这 3 台主机进行检查，发现192.168.1.2 与 192.168.1.94 感染病毒，而 192.168.1.13 则被植入木马，从而导致网络几近瘫痪。至此，通过科来网络分析系统对网络通讯的分析，网络故障全面排除。