论文部分内容阅读
问题表现
一个上千台电脑的政府单位,有着高端防火墙和IDS产品, 2006年12月中旬,突然出现上网速度缓慢,甚至无法打开网页的现象。在机房中进行ping包测试,发现中心交换机到内部主机的ping包响应时间正常,但ping外部DNS时响应时间较长,且出现间歇性丢包。登录到交换机,发现交换机占用负载较大,但防火墙和IDS都没有对该事件进行报警。检查交换机ARP表却没发现异常,于是清除交换机的ARP表并重启交换机,但故障仍然存在。
原因分析
首先對网络的数据进行检查,管理者采用网络分析软件进行抓包分析,将网络分析采集软件部署在中心交换环节。通过使用成都科来软件有限公司的网络分析软件分析,获得了大量的真实数据,从分析的结果数据中,管理者发现以下问题:
1.由于网络几乎瘫痪,网络流量并不高,两分钟的流量不足140MB,但网络连接数非常高,达16540次;通过连接数排序,找到连接数最大的IP地址是10.8.24.11,在两分钟内收发的流量只有133M,但连接数远高于其他IP。
2.网络分析结果显示445端口请求次数高,并且都来自于IP为10.8.24.11的主机。从数据显示,它在向内网所有IP发送445端口请求数据包,产生的频率每秒高达140次(如数据包来源追踪表)。
解决方法
1.隔离。管理者发现问题后,首先采取的措施是隔离问题源,在交换机上拔掉10.8.24.11机器的网线,整个网络恢复,ping外网IP响应时间正常,可以正常访问网页。
2.问题排除。对主机10.8.24.11进行检查时,发现它在进行大量BT下载,BT是一种点对点传输方式,会大量占用网络资源,从而影响正常网络访问的速度,网络会变得很慢。除此之外,对10.8.24.11进行检查,这台主机是内网一台重要服务器,中了一种新的蠕虫病毒,并在内网进行大量扫描攻击。管理者通过专杀工具杀毒后,服务器恢复正常。
一个上千台电脑的政府单位,有着高端防火墙和IDS产品, 2006年12月中旬,突然出现上网速度缓慢,甚至无法打开网页的现象。在机房中进行ping包测试,发现中心交换机到内部主机的ping包响应时间正常,但ping外部DNS时响应时间较长,且出现间歇性丢包。登录到交换机,发现交换机占用负载较大,但防火墙和IDS都没有对该事件进行报警。检查交换机ARP表却没发现异常,于是清除交换机的ARP表并重启交换机,但故障仍然存在。
原因分析
首先對网络的数据进行检查,管理者采用网络分析软件进行抓包分析,将网络分析采集软件部署在中心交换环节。通过使用成都科来软件有限公司的网络分析软件分析,获得了大量的真实数据,从分析的结果数据中,管理者发现以下问题:
1.由于网络几乎瘫痪,网络流量并不高,两分钟的流量不足140MB,但网络连接数非常高,达16540次;通过连接数排序,找到连接数最大的IP地址是10.8.24.11,在两分钟内收发的流量只有133M,但连接数远高于其他IP。
2.网络分析结果显示445端口请求次数高,并且都来自于IP为10.8.24.11的主机。从数据显示,它在向内网所有IP发送445端口请求数据包,产生的频率每秒高达140次(如数据包来源追踪表)。
解决方法
1.隔离。管理者发现问题后,首先采取的措施是隔离问题源,在交换机上拔掉10.8.24.11机器的网线,整个网络恢复,ping外网IP响应时间正常,可以正常访问网页。
2.问题排除。对主机10.8.24.11进行检查时,发现它在进行大量BT下载,BT是一种点对点传输方式,会大量占用网络资源,从而影响正常网络访问的速度,网络会变得很慢。除此之外,对10.8.24.11进行检查,这台主机是内网一台重要服务器,中了一种新的蠕虫病毒,并在内网进行大量扫描攻击。管理者通过专杀工具杀毒后,服务器恢复正常。