某电业局网络故障诊断案例分析报告

1、案例分析-某电业局网络故障诊断一、故障描述故障地点：某电业局故障现象：网络严重阻塞，内部主机上网甚至内部主机间的通讯均时断时续。故障详细描述：网络突然出现通讯中断，某些VLAN能访问互联网，且与其它VLAN的访问也会出现中断，在机房中进行ping包测试，发现中心交换机到该VLAN内主机的ping包响应时间较长，且出现间歇性丢包，VLANVLAN间的丢包情况则更加严重。二、故障详细分析1 .前期分析初步判断引起问题的原因可能是：交换机ARP表更新问题广播或路由环路故障人为或病毒攻击需要进一步获取的信息：网络拓扑结构及正常工作时的情况交换机ARP表信息及交换机负载情况网络中传输的原始数据包2 .具

2、体分析首先，我们从网络管理员那儿，得知了网络中主机共450台左右，同时得到了网络的简单拓扑图，如图1所示。10230.204.(X24服外器群（图1网络原始拓扑简图）从图1可以知道，网络中划分了6个VLAN分另1J是10.230.201.0/24、10.230.202.0/24、10.230.203.0/24、10.230.204.0/24、10.230.205.0/24、10.230.206.0/24、，其中201c205这5个VLAN分别用于一个部门，而206为服务器专用网段。各VLAN同时连接上中心交换机（Passport8010）,中心交换机再连接到防火墙，由防火墙连接到Interne

3、t以及省单位。大致了解了网络拓扑后，我们以超级终端方式登录中心交换机，发现交换机的负载较大，立即清除交换机ARP表并重启，但故障仍然存在，于是我们决定对网络进行抓包分析。在中心交换机（Passport8010）上配置好端口镜像（具体配置信息，略），并将安装科来网络分析系统的笔记本接到中心交换机的镜像口上，安装好后网络的拓扑简图如图2所示。10.230.204.a2410230a5a24鼎苏博群（图2安装科来网络分析系统后的网络拓扑简图）由于科来网络分析系统可以跨VLAN对数据进行捕获分析，所以在中心交换机上接入安装科来网络分析系统的笔记本后，网络的拓扑结构并未发生任何改变。打开笔记本上的科来网

4、络分析系统，捕获数据包约1分钟（捕获停止后发现确切时间是53秒）后停止捕获，并对捕获到的数据通讯进行分析。将节点浏览器定位到物理端点下的本地网段，我们发现MACfe址为00:00:E8:40:44:99的主机，下面共有40个IP地址，如图3。3：uj-科乐科堵灯新城岳止-水堆阿场4巨X真挥叫标修因至Sm工理旧工具叫snno利助a由在打开用后isjfi时匕开的指夏联量更配薄ii3闻黜e叠m志避专法断出詈宅子哀堂褴器霹读鹿；平X糊苴事计修好靠卓功凶国9就搭包日古尔+47a)ADOOhEE:2D:f3EXQ)SmDO.OE.AA：3D!M.4dU)t-Da：3l:l:3Z:CB!：2rd)4矮皿囱恒

5、胥尚匍本随同国掂在：134名荷通过R每出位用绛整A30本电网废luEse.siz43-urif-i95.flT5r叵EC：DZ：B0K：EB：DZMt=-eb.irzLE9KIKVf-iLD,932+曜刘:如：，4第（4011品iJgElHFE值45:勇T33.7E5ME：=5.7C3a部13t理DUIE-40-3D75(.1)叵mi】K即：THE!2ST.2S2UE：E5S,5434122HLj!Efi,14由*00.00.附虬纸质1)+DO:E:IB:40:3FKEQ.)1绮DQ凯琳TECC(1)+厘、肌配机a.)awDa：BO4U:4E:3&H7Q.)s理眦阻网:”:尔.的co+吧00:

6、3.EE:55:1ALB(1)婚IW5U?56O55(1)+jUfOO：OAH：55：5C660J屏LT：腾阊!1GL2D5ME：23也叫，91332Klj-iLB,r1540ULmDOFQTpAEBEi|MW口”MF：40.9.13IES23XbfiEZT&叩B：W：中TTBiCii|23珀EUF：?4,熠444311Tl54品吧加明装制陶FQ3TTIHF：M,T5T2T阴WiLr01T*THWCE3S55MFi5,：恸口Ml1T5KQ30D温C3：比f-MF;39,239iISKi观,MJCG：MB840rs的蕾由UR27,减L536JCls136用!NJCO：OE超AL：T3：CB382

7、3ME；s.m0Mu7+DD-Oj.EE:55:SF驳(1)由,m:必口屈:瓶砧也)*必：胎L5.的.51r6LQyf；5,an0皿513麻NalCO.DC.TB弱.5igE；9,MS2t.5KKl型326+吧:EE:弱:熊沔(1)国婚叩5球55呈弱tl)+期1MmH;55:9DJI口)+jyfDa：OKn：55：EED(1)i4900io班副中/m+好附：瓠机:的:咽na)1K3DO-SO1-63-43Ir(|)vhjnwij.25eaijjijsrr口.那usi工M30Wki0_Bv季G0田国就，曹，辐阖DMEB：4Di-4H：-99!RSf-3,IBSZT.CEE涮诅目标t&iHJt+R

8、SA.14395B7DO!DD:EBi4O!4z9fF:FFFFtTFiFF:FFXF.P4n.l3B.L3E.lg在DDzDDLEa!4D:44!9.143971DO!DDiEBiU!44=990m口山口口1口U.FE410.230.ZO3-39在0!：DajEE:4I!：4：amwstL?：14139175DO:D0=EBi:4C:44:$9DO!.D4jDr：IE:g2-01尸E4ia.230.ZD3.fi2在DQ:DOjEEl4Hi4-1z99敢希坦史诧器14391B5M；O：EB= a.)a.)Q) co o) to a) ti &) 1) a) (i) CD co a) 口) (i

9、) s a) ti)I H - 00: EB. tC: 44:名荷石是量密至理总藐fib：赛委包学S llifeuirMl II况用6inn.nm3OD.DC031日丁处生 _Bd5iTa.2L51口35a石鼻ll.ipanxTQ.2DBX33.579|7.1-LMXtL2fl Esa.CCiE%D raTS,=丁口999 BE 9 EB4.44129.TES1IB qI4盘 丁TCFS4T 375 咫4roMZT. LK%15. im-.Tint|51 E g EBM5e57BS1 2T5SLffi 丁TEUP3：I2 B0 015%口 QI 5,百J 岸Q 0由国奥，哲也曲旦工通状意栏 汽

10、格包应渊肝 清派舒龙包 捕冬的如包 至去生谶竟名 接受的t席名 拒题曲竟名 造百至.用罩声使用1,的3海4|1斤再9里*ia目株fea大小师143 弼 F?00E叱匕40：的：制FF： F7!FFtFFJ FT：FF醒F$45 13$3九16在加山口.：郎即:1*袖143S161时；Q3E8：*；4铳箝W：Q4；DCEj2：Ql版P1。工3。亮3,舒 在 0Q4 0D?EH：4O：44：WH39Q74M；Q 供 ES40：4 比 99!：5OsBAtF4；!0C：3CAPPN10.230,203.54 在 OOsIMjESit44；95143S775WjCQsEa： 4044： 99W：043

11、DC：lEi6Z；01触E6-410308,6f 在 QBQ(J：E棚 4024：磬143 sH65H：；OO；EB)S44：99Q4：0A；EB7B；25：Af4Afi6-410,230,200.554 在 口况00：E区4Q：制：99143S766M；W；E壮也网为99g；D无口 S1E；6 需0 1APP10.230,293.170 在 g：M；E6NM3：99139790H：00;EB;41；44;99FFSFT;FF?FFS FF;FFAPP网C.136,136.16 在 OQtQO：E6;40r44i9A143J939H：00;Ea；43;44;99FF;FT;FFFFr；F7:F

12、FAPF640.136.13&.16 在00;00;E6:4Dr44;9AUHBOLBH;00=Ear4;44;99APE10.23020；3.39 在 OOiOO;EButi：i;44=9144J0031眦：（1比弧泣g第K;50;BAfF4;0C;3CAFP6410.230.20.24 在 O0J；M;6= 40:449上刎蒯鸵M;00;E：fi;43;44:9900;D;DCrIE:62;01APP10.230.2（X3,2 在。口；口配KB;如：&船的上刎蒯加H;dO:EfiJ;44;99H;QI;EB:7B;2:14iFR64102：30.旨0144勃tHOI3aEaE40j44;M

13、:iO4;bCElEa42B01APP41U.23cLM001aLT0 在 OOiM;5:4k44；gg144JS3MHiQOaElE40i443TFMEm ETF血fi4fl. 136. l?ul 在 00:00;EB=40r44A1732M:iflDi.EA4044iS4fTi F?:fF:FFi FT：FFAF.64iO.13Su13Sb1C CE 00 e Ma ESs 40 r 3A144D749皿hQgEB140： 44:99M:id4ibCEX2iGlAF.6410.2a0u 2039 S DDQD： ED! 40:44:93144D76BIKl!4DzEH4Cl ! 4月：99

14、DOE QX：EB：7B!2S：A4取PE4lD.Z3O.Za3,2S4 在 00 ： DO: B： 401 43! S51144DT69M! HD! EB 403 44:99M: 口鼻： 口口 lEWWECa砥PG4ID.230.203a170 在 CD：Ed!ZB：4044:9914 30 3DO IUD： EH L4J! 44:99JFl FT： FFlFFl FT：rF典PG40. 136.136.16 在 QIlRCkmENtH$kq上14A1 DUDfmi nna e-口 m 4口rwi nr r c m， m DQ*同1 n 710 7n Qi 7t FlfT，门|11丁口，At

15、njr TA r QrQ寻求幅的.港后TI（图400:00:E8:40:44:99主机通讯的协议分布）从图4下面的数据包可以知道，00:00:E8:40:44:99主动向网络中的其它主机发出ARP回复数据包，内容是告诉对方主机，自己是某个IP的主机，而这个IP在不断地变化。由此可以断定，MAC%址为00:00:E8:40:44:99的机器在进行ARP欺骗。同时，诊断视图的AR隈断事件区时，也给出了相应的提示信息，如图5。（图500:00:E8:40:44:99的ARP诊断信息）经过上面的分析，我们确定00:00:E8:40:44:99存在ARP欺骗攻击，网管人员立刻开始查找该主机，由于他们以前

16、做了IP与MACM址的统计表，所以很轻松地就找到了该机器。在二层交换机上拨掉该主机的网线，网络很快恢复正常，VLAN间的内部访问和外部访问（包括Internet和省网单位）速度均恢复正常。另外，从图3的显示可知，00:02:B0:BC:68:D2、00:0B:DB:4B:46:81、00:11:25:8D:7D:C1三台机器占用的流量较大，通过查看这几台机器的具体流量后，发现00:02:B0:BC:68:D2和00:0B:DB:4B:46:81在互相进行数据拷贝，而00:11:25:8D:7D:C1对应的IP地址是10.230.204.1,它是10.230.204.0/24网段的网关，占用较量

17、较大属于正常情况。由此基本断定网络时断时续的根源即前面找出的00:00:E8:40:44:99主机。找出故障点，并帮助网络恢复正常后，我们因为其它的事情离开了现场，并未去排查00:00:E8:40:44:99的具体情况。下午接到电业局网管人员的电话，告知在找到MACK:为00:00:E8:40:44:99的主机时，该用户仅在使用WOR进行文档编辑，并未人为的进行攻击，然后安装防病毒软件并对该主机进行查杀，查出病毒若干，病毒查杀后，再次将该主机接入网络，网络通讯仍然正常。由此得出引发网络故障的原因是MACfe址为00:00:E8:40:44:99的主机感染蠕虫病毒，该病毒自动进行ARP欺骗攻击，导致网络访问的时