数据网-华为-S3352交换机- ARP病毒攻击断网故障-流程图

Y
解决 措施
删除arp病毒
利用Wireshark网络流量抓包分析和查看交换机动态MAC地址 表的方法，我们确定了感染病毒的机器，对其进行杀毒，清除 相关病毒、木马。
源自文库
投诉问题是否 消除？ Y
预防 /监 控措 施
经验总结
结束
1）首先要做好终端基础资料的统计，一旦发生故障，可以根 据统计资料进行快速准确定位。 2）其次，营业厅体验类终端由于可被用户随意操作，感染病 毒风险极大，鉴于目前业务部门体验类内容较多，无法启用软 件控制策略，只能由营业厅人员加强巡视，特别是避免用户进 行不明软件的安装下载。 3）最后，在技术层面，为了避免该类型终端后期再次因ARP 病毒原因对内网造成影响，我们对该类终端的交换机端口进行 了广播包流量限制。
故障 诊断
Y
设备运行正常排除交换机、路由器故障问题。
根据上述排查，可能是网终端感染ARP病毒，或者是网关MAC 地址欺诈，或者是大量发送广播包造成网络拥塞。
是否为病毒引 发？
Y
通过查看路由器及交换机日志，登录路由器后，我们发 现日志中有如下告警：内网中存在着arp泛洪攻击，进行 抓包分析，发现异常ARP流量，可以确定是arp病毒，导 致的网络中断。
故障案例流程图
故障处理流程
故障 描述
某营业部及下属营 业厅网络中断 外网无告警，故障 位于内网。
工作要求
所有终端无法正常办公。主要表现为无法PING通网关，网卡及网 线状态均正常，相关网络设备状态指示灯正常，传输无告警，可 远程登陆到路由器上进行操作。 常见故障类型如下： 1）内网形成环路，造成网络宕机； 2）路由器及交换机故障（吊死、硬件损坏等、网线损坏）； 3）内部网络终端受ARP类病毒攻击，内网ARP表混乱； 进行环路检测，通过Console口登陆到S3352交换机上，使用 display log指令查看日志，没有环回告警；再次，查看系统CPU 及内存占用率，命令分别为display cpu和display mem，CPU占 用率为10%，内存占用率为56%；
1、内网环路会导 致网络中断
是否为网络环 路引发？ N 2、交换机路由器 故障会导致网络中 断 是否为设备故 障引发？ N 3、木马、病毒攻 击会导致网络中断
Y
当环路产生时，将大量消耗系统资源，根据当前状态很明显没 有环路产生。
检测了路由器与交换机之间互联的端口及网线，未发现异常， 通过笔记本直连PING测试，都可正常通信