案例分析-许昌某网吧网络故障诊断

案例阐发－许昌某网吧网络故障诊断
故障描述
故障地址：
河南省许昌某网吧
网络环境：
网吧大要有200台电脑，采用双W AN出口〔电信和网通〕拜候互联网，网络布局较为简单，外网路由器主交换机二层交换机客户端。

故障详细描述：
同时接上两个外网出口时，整个网络拜候通讯呈现异常，网络速度异常迟缓，很多用户甚至不克不及上网，在客户端进行ping包测试时发现，当地客户端严重丢包，断开网通的外网出口，网络却又恢复正常，ping包测试也无异常。

故障阐发
由于在断开网通的线路后，网络拜候正常，初步疑心是网通线路问题，于是用笔记本单独接网通线路测试，一切正常，所以首先排除了网通线路的问题。

在排除线路问题后，我们将问题重点放在了内网主机查抄上。

由于网络速度迟缓而且呈现断网的情况，所以疑心网络中有主机传染ARP或其他蠕虫病毒攻击导致网络瘫痪，于是决定用科来网络阐发系统抓包阐发，在中心交换机上做好端口镜像，在笔记本上安装科来网络阐发系统，将笔记本接到中心交换机的端口上，启动科来网络阐发系统开始捕捉数据，约6分钟后遏制捕捉并阐发捕捉到的数据包。

我们首先了解网络的整体运行状态，在概要统计视图中可以看到：网络的总共流量为，而操纵率那么达到了近80％，这是网络迟缓的一个重要指示参数。

我们再看TCP的参数信息，此处，TCP的同步数据包与结束连接数据包别离是17796和9963个，由TCP的工作道理我们知道，TCP在工作时首先会通过三次握手成立连接，数据传输完成后，必需关闭连接，在成立握手的时候，会发生2个同步数据包，而关闭连接的时候，也会发生2个同步数据包，所以，理论情况下，1个TCP连接的同步数据包与结束连接数据包应该大致相等，如果二者的数据包相差较大，说明当前的网络传输不正常。

如图1。

图1
选择端点视图，我们发现，IP地址为这台主机的网络连接数较多，而且流量也比较大，所以，我们定位这个IP，单独对其阐发。

在节点浏览器中选择，翻开矩阵连接视图，我们看到，该主机的通讯主机数达到了1000个，而且很大一局部为单向流量，如图2。

图2
翻开图表视图，我们查看该主机的TCP连接情况。

从中可以看到，该主机的TCP同步数据包、结束连接数据包以及复位数据包的比例，如图3。

图3
翻开会话视图，查看该主机的TCP会话情况，如图4。

图4
在该主机的TCP通讯中，我们可以看到：该主机测验考试通过不同的端口试图与其他IP成立连接，发送的数据包大小均为246B，但是，并没有收到目标主机的任何回应数据包，这说明，其发送的同步数据包被目标主机复位终止了连接或目标主机均为异常的IP地址，是该主机传染病毒后随机向其他主机发送同步连接数据包以试图传染其他主机。

所以，综合以上的判断，我们确定，192.168.1.2这个主机传染蠕虫病毒，正在发送大量的数据包进行扫描以试图传染其他主机。

通过类似的方法，我们发现：192.168.1.94这个IP也存在同样的行为，不外，扫描方法由TCP扫描变为了UDP扫描，目标主机也底子是内网IP，而且，其发包的频率也非常快，1秒摆布的时间就会倡议10个同样的数据包，以试图攻击或传染其他主机，对网络带宽的消耗长短常严重的。

如图5和图6。

图5
图6
其次，通过UDP会话，我们还发现，IP地址为192.168.1.13的这个主机也存在异常情况，该主机底子全是接收的数据包并没有发送数据包，外网IP不竭测验考试连接该主机的3325端口，这就说明，该主机传染了木马病毒或正在被攻击。

如图7。

图7
综合以上阐发，我们对、192.168.1.94以及192.168.1.13进行了断网隔离，再同时接上电信以及网通双出口，网络未发现异常；同时，对这3台主机进行查抄，发现192.168.1.2与192.168.1.94传染病毒，而192.168.1.13那么被植入木马，从而导致网络几近瘫痪。

至此，通过科来网络阐发系统对网络通讯的阐发，网络故障全面排除。