两例特殊网络丢包排错案例.docVIP

两例特殊网络丢包排错案例 　　远程商业窃密引发丢包 　　 　　中天设计院是甘肃省建设厅直属单位，网络规模不大。152台主机根据单位职能部门分为5个子网，分别由Hub连接到交换机。由于公司内部的协同办公比较频繁，除了一个在线视频系统外还部署了一台文件服务器，单独为一个子网提供数据的共享和交流。单位对外的Internet需求不是很大，通过路由器连接到Internet，网络拓扑见图1。 　　故障现象 　　某天，该单位的网络突然出现严重堵塞，主机间的数据频频中断导致协同办公不能正常进行，在线视频系统经常掉线。另外，无论是从文件服务器上传还是下载文件都异常缓慢，有时会因超时而中断。主机能够连接到Internet，但是网速缓慢。 　　 　　初步判断 　　 　　首先在一台主机上用ping命令测试到网关的连通性，输入命令“ping 192．168．2．1 -n 1000”发送1000个Ping包测试网关。测试结果是可以ping通网关，但是掉包现象很严重：1000个包有720个包丢了，丢包率为72%，持续掉包时间也很长。运行arp -a命令，发现网关IP和网关MAC地址指向正确。通过上面的测试基本排除网络设置错误以及ARP欺骗。 　　 　　监控分析 　　 　　于是在核心交换机上做镜像，用Sniffer对整个内网（五个子网）进行监控。首先进入“dashboard”（仪表面板），发现网络利用率达到了97%，这是很不正常的现象。笔者判断以该单位的网络规模以及日常业务量，网络利用率应该在20%~30%之间，有较大的网络冗余。这样我们可以断定，造成网络丢包的根源应该是异常流量占用大量的网络带宽所致。那这些异常流量来自何处呢？ 　　切换到“matrix”（矩阵面板），发现MAC为00-0A-E6-98-84-B7的主机占了整个网络流量的57．87%。于是初步把目标锁定在该主机上，然后切换到“hosttable”（主机列表）继续分析。从该面板中，没有发现大量的广播包，因此完全排除了广播风暴影响。找到00-0A-E6-98-84-B7，对此主机分析，发现该主机的网络活动非常可疑，进入该主机的数据包才700多个，而出去的数据包在10多分钟内就有了几十万个包。 　　 　　故障解决 　　 　　为了确认上述主机在进行什么网络活动，笔者在交换机上对它单独抓???分析。对数据包解码后发现，该主机通过UDP协议项向外网的一个IP为60．164．82．185主机进行数据拷贝。这个IP怎么这么眼熟，这不是本地的一个IP吗？另外，还发现该主机与文件服务器的连接也十分频繁。笔者根据网段和MAC地址，在交换机上对该主机隔离，断开其网络连接，整个网络马上就恢复了正常，丢包故障排除。 　　至此，我们通过层层排错找到了造成这次网络丢包的原因――该主机被黑客植了木马，然后远程控制通过8888端口向远程拷贝文件。另外，该主机正在从文件服务器上下载大量文件，估计攻击者正在通过该主机窃取文件夹服务器上的资料。 　　该主机本来安装了杀毒软件，但不报毒应该是攻击者做了免杀处理。手工清除木马，将该主机连接到网络，网络丢包再也没有发生。事后机主回忆可能是中了移动硬盘中的木马，因为当天他曾经将工程规划书拷贝到客户的移动硬盘中。丢包排错中引出商业窃密这是大家都没有想到的循环自动扫描攻击引起丢包 　　笔者所在地某中学的局域网约有电脑1000台，通常情况下同时在线的有600台左右，网络一直很稳定。期末放假前网络出现异常，具体症状为：整个校园网突然出现网络通信中断，内部用户均不能正常访问互联网。在机房中进行ping包测试时发现，中心机房客户机对中心交换机管理地址的ping包响应时间较长且出现随机性丢包，主机房客户机对二级交换机的通信丢包情况更加严重。 　　 　　深入分析 　　 　　笔者初步判断这种现象可能是交换机ARP表更新问题、广播或路由环路故障、病毒攻击等引起的。为此，需要进一步获取ARP信息、交换机负载、网络中传输的原始数据包等信息。 　　配置抓包。在中心交换机上做好端口镜像配置操作，并将分析用笔记本电脑接到此端口上，启动网络分析工具捕获分析网络的数据通信，约10分钟后停止捕获并分析捕获到的数据包。 　　查看连接，定位攻击源。在停止捕获后，笔者在网络分析系统主界面左边的节点浏览器中发现，内部网络同时在线的IP主机达到了6515台，这表示网络存在许多伪造的IP主机，网络中可能存在伪造IP地址攻击或自动扫描攻击。选择连接视图，发现在10分钟内，网络中共发起了12108个连接，且状态大多都是客户端请求同步。据此，我们断定校园网中存在自动扫描攻击。 　　详细查看连接信息，发现这些连接大多都是由192．168．5．119主机发起，即连接的源地址是192．168．