网络故障案例-某出版社网络故障
时间地点:
下午3点接到通知,在某出版社机房
故障现象:
网络突然出现通讯中断,网络严重阻塞,内部主机上网甚至内部主机间的通讯均时断时续。
--交换机ARP表更新问题
--广播或路由环路故障
--人为或病毒攻击
需要进一步获取的信息:
--网络拓扑结构及正常工作时的情况
--交换机ARP表信息及交换机负载情况
下午3点接到通知,在某出版社机房
故障现象:
网络突然出现通讯中断,网络严重阻塞,内部主机上网甚至内部主机间的通讯均时断时续。
故障详细分析:
1. 前期分析
初步判断引起问题的原因可能是:--交换机ARP表更新问题
--广播或路由环路故障
--人为或病毒攻击
需要进一步获取的信息:
--网络拓扑结构及正常工作时的情况
--交换机ARP表信息及交换机负载情况
--网络中传输的原始数据包
2. 具体分析
首先,我们从网络管理员那儿,得知了网络中主机共450台左右,同时得到了网络的简单拓扑图,从图中可以知道,网络中划分了6个VLAN,分别是10.230.201.0/24、10.230.202.0/24、10.230.203.0/24、10.230.204.0/24、10.230.205.0/24、10.230.206.0/24、,其中201~205这5个VLAN分别用于一个部门,而206为服务器专用网段。各VLAN同时连接上中心交换机(Passport 8010),中心交换机再连接到防火墙,由防火墙连接到Internet以及省单位。大致了解了网络拓扑后,我们以超级终端方式登录中心交换机,发现交换机的负载较大,立即清除交换机ARP表并重启,但故障仍然存在,于是我们决定对网络进行抓包分析。
在中心交换机(Passport 8010)上配置好端口镜像(具体配置信息,略),并将安装网络分析系统的笔记本接到中心交换机的镜像口上,由于我公司网络分析系统可以跨VLAN对数据进行捕获分析,所以在中心交换机上接入安装网络分析系统的笔记本后,网络的拓扑结构并未发生任何改变。
打开笔记本上的我公司网络分析系统,捕获数据包约1分钟(捕获停止后发现确切时间是53秒)后停止捕获,并对捕获到的数据通讯进行分析。
将节点浏览器定位到物理端点下的本地网段,我们发现MAC地址为00:00:E8:40:44:99的主机,下面共有40个IP地址。
我们知道,在正常情况下,一个MAC地址下面出现多个IP地址,只可能有以下几种情况之一:网关、代理服务器、手动绑定多个IP地址。咨询网络管理员得知,该网段内的机器均只绑定了一个MAC地址,且没有代理服务器,同时该MAC也不是网关MAC地址,由此,我们怀疑,该主机可能存在欺骗攻击。
经过上面的分析,我们确定00:00:E8:40:44:99存在ARP欺骗攻击,网管人员立刻开始查找该主机,由于他们以前做了IP与MAC地址的统计表,所以很轻松地就找到了该机器。在二层交换机上拨掉该主机的网线,网络很快恢复正常,VLAN间的内部访问和外部访问(包括Internet和省网单位)速度均恢复正常。
同时,由于此次捕获数据包的时间较短,仅仅只有53秒,所以网络中可能还存在一些未被检测出问题的主机(这些主机当前未启动,不会收发相应数据包,故无法查找)。所以,对于企业的网络运行,需要网络管理人员使用专用的网络分析工具,对网络进行长期有效的监测和分析,才可以最大程度地排除可能的网络故障和网络安全威胁。
打开笔记本上的我公司网络分析系统,捕获数据包约1分钟(捕获停止后发现确切时间是53秒)后停止捕获,并对捕获到的数据通讯进行分析。
将节点浏览器定位到物理端点下的本地网段,我们发现MAC地址为00:00:E8:40:44:99的主机,下面共有40个IP地址。
我们知道,在正常情况下,一个MAC地址下面出现多个IP地址,只可能有以下几种情况之一:网关、代理服务器、手动绑定多个IP地址。咨询网络管理员得知,该网段内的机器均只绑定了一个MAC地址,且没有代理服务器,同时该MAC也不是网关MAC地址,由此,我们怀疑,该主机可能存在欺骗攻击。
经过上面的分析,我们确定00:00:E8:40:44:99存在ARP欺骗攻击,网管人员立刻开始查找该主机,由于他们以前做了IP与MAC地址的统计表,所以很轻松地就找到了该机器。在二层交换机上拨掉该主机的网线,网络很快恢复正常,VLAN间的内部访问和外部访问(包括Internet和省网单位)速度均恢复正常。
总结:
中大型网络中,网络故障错综复杂,不借助专业网络分析工具的情况下,很难对故障进行排查,如本例中,如果不对数据包进行捕获,即使在交换机上查看流量,由于00:00:E8:40:44:99的流量并不特别大,所以我们也很难找到故障点。同时,由于此次捕获数据包的时间较短,仅仅只有53秒,所以网络中可能还存在一些未被检测出问题的主机(这些主机当前未启动,不会收发相应数据包,故无法查找)。所以,对于企业的网络运行,需要网络管理人员使用专用的网络分析工具,对网络进行长期有效的监测和分析,才可以最大程度地排除可能的网络故障和网络安全威胁。