论文部分内容阅读
问题描述
云南省某高校,有6000台上网的电脑、5个比较集中的宿舍区和5个教学区、两个家属居住区。在2007年上半年,经常会出现网络缓慢现象,大量主机不能正常上网,时断时续,问题持续一周也没有得到解决。用户使用过一些产品,如上网监控产品(监控网络行为)、网络管理产品(监控服务器、交换机CPU、内存和流量),但都没有发现问题的原因。
原因分析
在之前,之所以没有找到问题原因,主是是管理者掌握的网络数据太少。这时候需要对网络进行全面的体检。对网络数据进行抓包并不需要改变网络拓扑结构。管理者将成都科来软件有限公司的网络分析软件部署在一台服务器上,作为分析服务器,并给中心交换机做好端口镜像,将流量复制到分析服务器上,然后再对数据包进行全面分析。对网络检测不到一分钟,就找到了最为可疑的网络数据包,解决了困惑该高校一周的事故主机。
问题出在数据链路层,学生宿舍有部分主机感染新病毒,对内网发起大量的ARP攻擊数据包,造成大量主机不能上网(如右表)。
表中的源地址和事件已经显示出被感染病毒的主机IP地址和MAC地址。根据这些地址,管理者拔掉其对应的网线,网络即刻得到恢复。从网络分析诊断的结果来看,问题主要集中在ARP欺骗上,经查证,是一些学生的主机不小心感染木马。在使用者不知道的情况下,这些被感染的机器向内网中发送大量伪造成网关的ARP包,使内网的其他主机无法获得正确的网关地址。这是导致大量主机不能上网的主要原因。还有一些TCP扫描和流媒体对资源的占用问题。
云南省某高校,有6000台上网的电脑、5个比较集中的宿舍区和5个教学区、两个家属居住区。在2007年上半年,经常会出现网络缓慢现象,大量主机不能正常上网,时断时续,问题持续一周也没有得到解决。用户使用过一些产品,如上网监控产品(监控网络行为)、网络管理产品(监控服务器、交换机CPU、内存和流量),但都没有发现问题的原因。
原因分析
在之前,之所以没有找到问题原因,主是是管理者掌握的网络数据太少。这时候需要对网络进行全面的体检。对网络数据进行抓包并不需要改变网络拓扑结构。管理者将成都科来软件有限公司的网络分析软件部署在一台服务器上,作为分析服务器,并给中心交换机做好端口镜像,将流量复制到分析服务器上,然后再对数据包进行全面分析。对网络检测不到一分钟,就找到了最为可疑的网络数据包,解决了困惑该高校一周的事故主机。
问题出在数据链路层,学生宿舍有部分主机感染新病毒,对内网发起大量的ARP攻擊数据包,造成大量主机不能上网(如右表)。
表中的源地址和事件已经显示出被感染病毒的主机IP地址和MAC地址。根据这些地址,管理者拔掉其对应的网线,网络即刻得到恢复。从网络分析诊断的结果来看,问题主要集中在ARP欺骗上,经查证,是一些学生的主机不小心感染木马。在使用者不知道的情况下,这些被感染的机器向内网中发送大量伪造成网关的ARP包,使内网的其他主机无法获得正确的网关地址。这是导致大量主机不能上网的主要原因。还有一些TCP扫描和流媒体对资源的占用问题。