1、某公司网络 PING 延迟故障案例解析一、 故障描述故障地点:石家庄某公司故障描述:网络通讯严重阻塞,用户访问外网服务器以及互联网的速度均非常缓慢,甚至不能访问,PING 网关延期。如图:二、 故障详细分析1. 前期分析初步判断引起问题的原因可能是: ARP 病毒 网络病毒攻击开始实际工作配差1、 登录到各交换机,查看内存及 CPU 的利用率,均正常。2、 通过 OMNIPEEK 捕获并分析网络中传输的数据包,具体过程如下。在核心交换机上做好端口镜像,启动 OMNIPEEK,约 3.08 分钟后停止捕获并分析捕获到的数据包。XX 公司网的主机约为 300 台,一般情况下,有 200 台左右上网
2、,等停止分析后,我们在OMNIPEEK 主界面左边的节点浏览器中发现的主界面查看,在 EXPERT 的 Hierarchy 中查看,诊断 tcp connection refused 时间竟然达到了 5731 个,感觉很是不对。如图:进行定位查看,发现有一台计算机极为不正常如图:由以上看到,可能被外部的 DDOS 攻击,可能是此计算机感染病毒,进一步查看如图:可以看到外网计算正在通过 135 端口正在扫描此计算机,因此可以断定正在被 DDOS 攻击,此计算机一定感染了木马之类的蠕虫病毒。找到问题的根源后,正准备对 CAI2 主机进行隔离,过了一会儿,再次 PING 网关,还是延迟,但不是太严重
3、了,感觉还是有计算机感染病毒或有 ARP 攻击,随即再次分析此包,但最终没有找到可疑的计算机,其间也关闭了几个流量有问题的计算机,但问题还是不能解决,正在百思不得其解时,突然脑子一动:何不尝试着通过分析我自己的计算机,再排查故障呢?于是笔者选择了科来网络分析系统 6.7 试用版啊?(笔者只有 50 个用户的抓包,因此刚开始选择了 OMNIPEEK。 )设置好过滤条件,这里为什么选在 192.168.1.1 呢,笔者怀疑是不是有人设置了和网关相同的 IP 地址呢?选择如下图:打开自己的计算机进行 PING,然后用科来进行抓包,58 秒后如下图:其中 8c:68 是笔者计算机的 MAC,09:37
4、 为网关 MAC,突然多出了一个 A9:4D.查看分析如图:怎么 A9:4D 会作为网关呢?请教此公司管理员,得知核心交换机到网关在无其他设备了,因此感觉此计算机是自己设错了 IP 地址,将自己计算机的 IP 地址设为了网关 IP 地址。三、 解决与心得分解决:1、找到此计算机,果然是设置了与网关相同的 IP 地址,管理员对其进行了严重警告。2、先前 CAI2 的计算机感染了木马病毒,通过 360 进行扫描,查杀后问题解决。然后打包 PING 网关,一些 OK心得:对于网络出现的问题,要认真分析,相信自己判断,多用几款协议分析软件是很用用的啊!以上便是笔者使用科来和 OMNIPEEK 诊断该公司网故障的全过程,在网络出现速度慢、时断时续、不能访问时,网管人员均可使用这种方法对故障进行诊断排查。飞 雪2008-5
