某公司网络PING延迟故障案例解析、解决方案

某公司网络PING延迟故障案例解析故障描述故障地点：石家庄某公司故障描述：网络通讯严重阻塞，用户访问外网服务器以及互联网的速度均非常缓慢，甚至不能访问，PING网关延期。如图：pom1^2=16«=1:rorn192.1GS.1.1：-i'oinpom1^2=16«=1:rorn192.1GS.1.1：-i'oin192a168alal：rorn±；me192.168_1_1：timedout.bytes=1024bytes=1W24bytes-d.024bytes=1024bytes=1024bytes-1024b^ftes=1(324tlirie-5iTisTTL^255tine=4nsTTL=255tinc-4msTTL-255tine=10r»sTTL=2^Stine=lln®：TTL=255time-6insTTL-2551:ime=9niaTTL=2S5rom=vcrn1^2.168_1_1:ron=sm=L'oinruin：bytes=1024bptes=1S24b^Ftcs-1024bytes=1024bytes=1024bytes-1024humR=1叫4time-lliTisTTL^255t.ime=3nistinc-5nstime-8mstine=4ns七ime-4msTTL=255TTL-255TTL=255TTL=2E5TTL-255*jmI1mF__TTL=W耳SARP病毒网络病毒攻击开始实际工作配置登录到各交换机，查看内存及CPU的利用率，均正常。通过OMNIPEEK捕获并分析网络中传输的数据包，具体过程如下。在核心交换机上做好端口镜像，启动OMNIPEEK，约3.08分钟后停止捕获并分析捕获到的数据包。某公司网的主机约为300台，一般情况下，有200台左右上网，等停止分析后，我们在OMNIPEEK主界面左边的节点浏览器中发现的主界面查看，在EXPERT的Hierarchy中查看，诊断tcpconnectionrefused时间竟然达到了5731个，感觉很是不对。如图：EventSummaryEiitrie^:LayerIventLegB"adeDetails10.97B_.E蛇ntCount_^ZTr.arispurtTCP1CoririectionRefused^731"ApplicationHTTPbioi-\iH.espunseTime1..593VTransportTCPLowWindow754。Client/server引口向ServerResponseTime570电j>TranspurtTCF1SlowA匚kriu'A'Iedqernent+34"TransportTCPRetransmissionZ39。TranspurtTCPSlowFirstRetransmission192进行定位查看，发现有一台计算机极为不正常如图:qp幻。＞ijsiH昭!,■'固]r'-'^1T5-^5ELfliLoqP-sijrt.ScpurcebwtridbDnIPLernAhDPIDPebtiYeExpert12019勺|222.222.1K17j!i?皿64W00.001HiB-archy12DE4j1rnqyab?.JW[Lal.nte192.1bB.1.2S4h44D0D.oa:F屈12093iI5E皿64u0.Q3I1309^1_332,222.11rl.5CAISIM0..0,0.31Wtib1211L1Iau-252.UQbiafiJ!：＜hX&-DF9l]-j9^5e£6440UOAQ!，由我莅12136gI2S3.S2S.6,13CATS64更00-15!dents12137j222.Z2Z.11.13「rjiizh44D0CL13!PA呷12219』22B.E2E.6.1BCAIS64更ClCUHReq|_E5ts1Z2ZDjZZZ.ZZZ.11.IS■LAIE644D0D.zai^Dice&VriiEo12230JI6，匚皿64miu口亶3!1Z23L22E.222.11.IScanS44DD0.23!12303*23L92.b56Bl.B664SU0.30.13311g15!L92.1£3.1.B864敏l0emi目1lilW■「口TNHd.■artnn_id►P凯岫13^aaoD[4fim日wkQxar：%aaniDLoo...i.s..[43]«aa(Noc^ajsstiiinwiBdgJEBducticaj…(Nc＞ECJAE0邙]«aafjfcIZrtfBeitpointer.!22222?.ll.l8U□UZGDB-mHflwa-1]T3]394531ciLCjiib?z-uidai.nehhdnsb.ccuzn-sx.m由以上看到，可能被外部的DDOS攻击，可能是此计算机感染病毒，进一步查看如图:N00B5FratocakSunnaryS}[-teEiODDO[46HukOWDF]EiQDDlDiaD...fl.J?..[47]EcaptweIKHI44：1-"1[PV矽Ar如由整CAI2192,166,1.3-5X6XB-PF9O3PJ35SA135.L5B.L.L6413E,L6B,1.00219,133^0.114219,133^0.55皿BEi<peftHerarchyFlatMrkmtfcm5ei-?ers□ie「MP琢5Rjec^iestiAVoice&Vidk±u58,251,63,223Cals490.2S2.11D.LJ£T必Bytef%TotalBytesP«tet£5ert139,63300司L39W03Z,3LE03Z,3LE011Z5ED23011Z5ED23011『3先27311,39217911.0721T3可以看到外网计算正在通过135端口正在扫描此计算机，因此可以断定正在被DDOS攻击，此计算机一定感染了木马之类的蠕虫病毒。找到问题的根源后，正准备对CAI2主机进行隔离，过了一会儿，再次PING网关，还是延迟，但不是太严重了，感觉还是有计算机感染病毒或有ARP攻击，随即再次分析此包，但最终没有找到可疑的计算机，其间也关闭了几个流量有问题的计算机，但问题还是不能解决，正在百思不得其解时，突然脑子一动：何不尝试着通过分析我自己的计算机，再排查故障呢？于是笔者选择了科来网络分析系统6.7试用版啊？（笔者只有50个用户的抓包，因此刚开始选择了OMNIPEEK。）设置好过滤条件，这里为什么选在呢，笔者怀疑是不是有人设置了和网关相同的IP地址呢？选择如下图:慨玉教rr|陌虱胴泉i：av<・mi*］配阡樱的巴口冶囹花也夜工程蛙IX。为町-邹画音-西口，篇-工程蛙IX芯篁规蚓网拓适配器•导过说器］可已志设胃II阀诊断设置II拒绝］•攻ICFWFBierl上移皿不止LLL位地批•攻ICFWFBierl上移皿不止LLL位地批其中8c:68是笔者计算机的MAC，09:37为网关MAC，突然多出了一个A9:4D,查看分析如图:rn/M]［「括］点rn/M]［「括］点埔苏记度;B时间戮:--因特网协议[14/20]1!■—©皈市=4[14/L]QxFO©头讹蛇.璧：5（20字辛）[14/1]OkDF4.J71SF:OOOQ0000【IV]OxFF…序气启：1052（1052字节）[16/2]••存板方：QX42D.5（171091分段标志：OULL・■・・[20/L]OxEO3保留；[20/L]0x60。分溟：［可能分段）［20；l］D:<-10D豆字分股：i最后一■■作段）0-2C..样尸段偏移呈：D[2n./?]OwlFFP-©生存时间:255[22/1]上后山，以：1IlCHF）[Z3/L]••-净校技和:QXFIMiJE确i[Z4/2]IFZrTTiti-1-^7—^ZLi/4J192.L68-l-2^_—[:EiJ/4]怎么A9:4D会作为网关呢？请教此公司管理员，得知核心交换机到网关在无其他设备了，因此感觉此计算机是自己设错了IP地址，将自己计算机的IP地址设为了网关IP地址。解决与心得分解决1、找到此计算机，果然是设置了与网关相同的IP地址，管理员对其