某中學(xué)網(wǎng)絡(luò)分析案例。

2019-11-04 11:46:14

字體：大中小

供稿：網(wǎng)友

案例分析－某中學(xué)網(wǎng)絡(luò)故障診斷

一、故障描述

故障地點(diǎn)：
江蘇省某中學(xué)校園網(wǎng)

故障現(xiàn)象：
嚴(yán)重網(wǎng)絡(luò)阻塞，客戶機(jī)之間相互ping時(shí)嚴(yán)重丟包，校園網(wǎng)用戶訪問互聯(lián)網(wǎng)的速度非常慢，甚至不能訪問。

故障具體描述：
整個(gè)校園網(wǎng)忽然出現(xiàn)網(wǎng)絡(luò)通訊中斷，內(nèi)部用戶均不能正常訪問互聯(lián)網(wǎng)，在機(jī)房中進(jìn)行ping包測(cè)試時(shí)發(fā)現(xiàn)，中心機(jī)房客戶機(jī)對(duì)中心交換機(jī)治理地址的ping包響應(yīng)時(shí)間較長(zhǎng)且出現(xiàn)隨機(jī)性丟包，主機(jī)房客戶機(jī)對(duì)二級(jí)交換機(jī)通訊的通訊丟包情況更加嚴(yán)重。

二、故障具體分析

1.前期分析
初步判定引起問題的原因可能是：交換機(jī)ARP表更新問題
　　　　　　　　　　　　　　　廣播或路由環(huán)路故障
　　　　　　　　　　　　　　病毒攻擊
需要進(jìn)一步獲取的信息：ARP信息
　　　　　　　　　　　交換機(jī)負(fù)載
　　　　　　　　　　　網(wǎng)絡(luò)中傳輸?shù)脑紨?shù)據(jù)包
2.故障具體分析排查
開始實(shí)際具體排查工作：
1.在主機(jī)房的客戶機(jī)和以下的客戶機(jī)上分別使用“arp –a”命令查看ARP緩存信息，結(jié)果正常；
2.登錄中心交換機(jī)查看各端口的流量，由于交換機(jī)反應(yīng)速度較慢，操作超時(shí)，無法獲得負(fù)載的實(shí)際流量；
3.使用科來網(wǎng)絡(luò)分析系統(tǒng)5.0捕捉并分析網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包，具體過程如下。

在中心交換機(jī)上做好端口鏡像配置操作，并將分析用筆記本接到此端口上，啟動(dòng)科來網(wǎng)絡(luò)分析系統(tǒng)5.0捕捉分析網(wǎng)絡(luò)的數(shù)據(jù)通訊，約2.5分鐘后停止捕捉并分析捕捉到的數(shù)據(jù)包。
XX中學(xué)校園網(wǎng)的主機(jī)約為1000臺(tái)，一般情況下，同時(shí)在線的有600臺(tái)左右。在停止捕捉后，我們?cè)诳苼砭W(wǎng)絡(luò)分析系統(tǒng)5.0主界面左邊的節(jié)點(diǎn)瀏覽器中發(fā)現(xiàn)，內(nèi)部網(wǎng)絡(luò)（PRivate-Use Networks）同時(shí)在線的ip主機(jī)達(dá)到了6515臺(tái)，如圖1，這表示網(wǎng)絡(luò)存在許多偽造的IP主機(jī)，網(wǎng)絡(luò)中可能存在偽造IP地址攻擊或自動(dòng)掃描攻擊。
選擇連接視圖，發(fā)現(xiàn)在約2.5分鐘的時(shí)間內(nèi)網(wǎng)絡(luò)中共發(fā)起了3027個(gè)連接，且狀態(tài)大多都是客戶端請(qǐng)求同步，即三次握手的第一步，由TCP工作原理可知，TCP工作時(shí)首先通過三次握手發(fā)起連接，假如請(qǐng)求端向不存在的目的端發(fā)起了同步請(qǐng)求，由于不會(huì)收到目的端主機(jī)的確認(rèn)回復(fù)，其狀態(tài)將會(huì)一直處于請(qǐng)求同步直到超時(shí)斷開，據(jù)此，我們現(xiàn)在更加斷定校園網(wǎng)中存在自動(dòng)掃描攻擊。
具體查看圖1的連接信息，發(fā)現(xiàn)這些連接大多都是由192.168.5.119主機(jī)發(fā)起，即連接的源地址是192.168.5.119。選中源地址是192.168.5.119的任意一個(gè)連接，單擊鼠標(biāo)右鍵，在彈出的右鍵菜單中選擇“定位瀏覽器節(jié)點(diǎn)>>端點(diǎn)1 IP”，這時(shí)節(jié)點(diǎn)瀏覽器將自動(dòng)定位到192.168.5.119主機(jī)。

某中學(xué)網(wǎng)絡(luò)分析案例。（圖一）

（圖1 網(wǎng)絡(luò)中的TCP連接信息）
選擇圖表視圖，并選中TCP連接子視圖項(xiàng)，查看192.168.5.119主機(jī)的TCP連接情況，如圖2所示。查看圖2可知，192.168.5.119這臺(tái)主機(jī)在約2.5分鐘的時(shí)間內(nèi)發(fā)起了2800個(gè)連接，且其中有2793個(gè)連接都是初始化連接，即同步連接，這表示192.168.5.119主機(jī)肯定存在自動(dòng)掃描攻擊。

某中學(xué)網(wǎng)絡(luò)分析案例。（圖二）

（圖2　192.168.2.119主機(jī)的TCP連接信息）
選擇數(shù)據(jù)包視圖查看192.168.5.119傳輸數(shù)據(jù)的原始解碼信息，如圖3。從圖3可知，這些數(shù)據(jù)包的大小都是66字節(jié)，協(xié)議都是CIFS，源地址都是192.168.5.119，而目標(biāo)地址則隨機(jī)產(chǎn)生，目標(biāo)端口都是445，且數(shù)據(jù)包的TCP標(biāo)記位都將同步位置1，這說明192.168.5.119這臺(tái)機(jī)器正在主動(dòng)對(duì)網(wǎng)絡(luò)中主機(jī)的TCP 445端口進(jìn)行掃描攻擊，原因可能是192.168.5.119主機(jī)感染病毒程序，或者是人為使用掃描軟件進(jìn)行攻擊。

某中學(xué)網(wǎng)絡(luò)分析案例。（圖三）

（圖3　192.168.2.119主機(jī)的數(shù)據(jù)包解碼信息）
找到問題的根源后，正預(yù)備對(duì)192.168.5.119主機(jī)進(jìn)行隔離，這時(shí)因其它事情中斷分析工作約10分鐘左右。
繼續(xù)工作，隔離192.168.5.119主機(jī)的同時(shí)再次將啟動(dòng)科來網(wǎng)絡(luò)分析系統(tǒng)5.0捕捉分析網(wǎng)絡(luò)的數(shù)據(jù)通訊，約2.5分鐘后停止捕捉并分析捕捉到的數(shù)據(jù)包。
分析捕捉到的數(shù)據(jù)包，網(wǎng)絡(luò)中又出現(xiàn)了3臺(tái)與192.168.5.119相似情況的主機(jī)，且這些主機(jī)發(fā)起的同步連接數(shù)都大大超過192.168.5.119，圖4所示的即是其中一臺(tái)主機(jī)在約2.5分鐘內(nèi)的發(fā)起的連接數(shù)，其中同步連接達(dá)到了6431個(gè)。
通過這個(gè)情況，我們可以肯定192.168.5.119和新發(fā)現(xiàn)的三臺(tái)主機(jī)都是感染了病毒，且該病毒會(huì)主動(dòng)掃描網(wǎng)絡(luò)中其它主機(jī)是否打開TCP 445端口，假如某主機(jī)打開該端口，就攻擊并感染這臺(tái)主機(jī)。如此循環(huán)，即引發(fā)了上述的網(wǎng)絡(luò)故障。

某中學(xué)網(wǎng)絡(luò)分析案例。（圖四）

（圖4　192.168.4.34主機(jī)的TCP連接信息）
網(wǎng)管人員立即對(duì)新發(fā)現(xiàn)感染病毒的3臺(tái)主機(jī)進(jìn)行隔離，ping測(cè)試響應(yīng)時(shí)間馬上變?yōu)?ms，網(wǎng)絡(luò)通訊馬上恢復(fù)正常。
在分析中，我們還發(fā)現(xiàn)，192.168.101.57主機(jī)占用的流量較大，其通訊數(shù)據(jù)包的源端和目的端都使用UDP 6020端口，且與192.168.101.57通信的地址227.1.2.7是一個(gè)組播IP地址，簽于此，我們推測(cè)192.168.101.57可能在使用在線視頻點(diǎn)播之類的應(yīng)用，并因此對(duì)網(wǎng)絡(luò)資源造成了一定程度的耗費(fèi)，其通訊數(shù)據(jù)包如圖5所示。對(duì)于這種情況，網(wǎng)管人員也應(yīng)對(duì)其進(jìn)行檢查，確定其合法性，以避免網(wǎng)絡(luò)帶寬被一些非要害業(yè)務(wù)所耗費(fèi)。

某中學(xué)網(wǎng)絡(luò)分析案例。（圖五）

（圖5　192.168.101.57主機(jī)的通訊數(shù)據(jù)包信息）
在第一次和第二次捕捉之間，相隔僅10分鐘的時(shí)間，網(wǎng)絡(luò)中就被新感染主機(jī)三臺(tái)。由此我們可以想象，假如不使用網(wǎng)絡(luò)檢測(cè)分析軟件捕捉分析網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包，僅通過查看交換機(jī)的端口流量，或者使用單純的流量軟件，將很難找到問題的根源，這樣網(wǎng)絡(luò)中感染的主機(jī)會(huì)越來越多，最終將導(dǎo)致整個(gè)網(wǎng)絡(luò)的全部癱瘓。
以上便是筆者使用科來網(wǎng)絡(luò)分析系統(tǒng)5.0診斷該校園網(wǎng)故障的全過程，在網(wǎng)絡(luò)出現(xiàn)速度慢、時(shí)斷時(shí)續(xù)、不能訪問時(shí)，網(wǎng)管人員均可使用這種方法對(duì)故障進(jìn)行診斷排查。

上一篇：Ethereal TVB_GET_NSTRINGZ0()內(nèi)存處理漏洞

下一篇：Ethereal IAPP模塊遠(yuǎn)程緩沖區(qū)溢出漏洞