某公司网络PING延迟故障案例解析

某公司网络PING延迟故障案例解析

一、故障描述

故障地点：

石家庄某公司

故障描述：

网络通讯严重阻塞，用户访问外网服务器以及互联网的速度均非常缓慢，甚至不能访问，PING 网关延期。如图：

二、故障详细分析

1. 前期分析

初步判断引起问题的原因可能是：

●ARP病毒

●网络病毒攻击

开始实际工作配差

1、登录到各交换机，查看内存及CPU的利用率，均正常。

2、通过OMNIPEEK捕获并分析网络中传输的数据包，具体过程如下。

在核心交换机上做好端口镜像，启动OMNIPEEK，约3.08分钟后停止捕获并分析捕获到的数据包。

XX公司网的主机约为300台，一般情况下，有200台左右上网，等停止分析后，我们在OMNIPEEK主界面左边的节点浏览器中发现的主界面查看，在EXPERT的Hierarchy中查看，诊断tcp connection refused时间竟然达到了5731个，感觉很是不对。如图：

进行定位查看，发现有一台计算机极为不正常如图：

由以上看到，可能被外部的DDOS攻击，可能是此计算机感染病毒，进一步查看如图：

可以看到外网计算正在通过135端口正在扫描此计算机，因此可以断定正在被DDOS攻击，此计算机一定感染了木马之类的蠕虫病毒。

找到问题的根源后，正准备对CAI2主机进行隔离，过了一会儿，再次PING网关，还是延迟，但不是太严重了，感觉还是有计算机感染病毒或有ARP攻击，随即再次分析此包，但最终没

有找到可疑的计算机，其间也关闭了几个流量有问题的计算机，但问题还是不能解决，正在百思不得其解时，突然脑子一动：何不尝试着通过分析我自己的计算机，再排查故障呢？

于是笔者选择了科来网络分析系统6.7试用版啊？（笔者只有50个用户的抓包，因此刚开始选择了OMNIPEEK。）设置好过滤条件，这里为什么选在192.168.1.1呢，笔者怀疑是不是有人设置了和网关相同的IP地址呢？选择如下图：

打开自己的计算机进行PING，然后用科来进行抓包，58秒后如下图：

其中8c:68是笔者计算机的MAC，09:37为网关MAC，突然多出了一个A9:4D.查看分析如图：

怎么A9:4D会作为网关呢？请教此公司管理员，得知核心交换机到网关在无其他设备了，因此感觉此计算机是自己设错了IP地址，将自己计算机的IP地址设为了网关IP地址。

三、解决与心得分

解决：

1、找到此计算机，果然是设置了与网关相同的IP地址，管理员对其进行了严重警告。

2、先前CAI2的计算机感染了木马病毒，通过360进行扫描，查杀后问题解决。

然后打包PING网关,一些OK

心得：

对于网络出现的问题，要认真分析，相信自己判断，多用几款协议分析软件是很用用的啊！

以上便是笔者使用科来和OMNIPEEK诊断该公司网故障的全过程，在网络出现速度慢、时断时续、不能访问时，网管人员均可使用这种方法对故障进行诊断排查。

飞雪

2008-5