ping不通、網速慢、時斷時續……類似這樣的局域網故障網管人員應該屢見不鮮了。那么，大家是如何來解決這些故障的呢?如何做到快速、準確呢?最近，筆者就經歷一起這樣的網絡故障。下面，筆者把相關的過程寫下來，希望對大家有所幫助。

一、網絡故障描述

筆者本地某中學的局域網出現了異常，具體癥狀為：網絡嚴重阻塞，客戶機之間相互ping時嚴重丟包，校園網用戶訪問互聯網的速度非常慢，甚至不能訪問。整個校園網突然出現網絡通訊中斷，內部用戶均不能正常訪問互聯網，在機房中進行ping包測試時發現，中心機房客戶機對中心交換機管理地址的ping包響應時間較長且出現隨機性丟包，主機房客戶機對二級交換機通訊的通訊丟包情況更加嚴重。

二、故障初步分析

筆者初步判斷可能是，交換機ARP表更新問題，廣播或路由環路故障，病毒攻擊等引起的。為此，需要進一步獲取ARP信息、交換機負載、網絡中傳輸的原始數據包等信息。

首先，筆者在該校的主機房的客戶機和其下的客戶機上分別使用“arp –a”命令查看ARP緩存信息，結果正常。然后，登錄中心交換機查看各端口的流量，由于交換機反應速度較慢，操作超時，無法獲得負載的實際流量。

三、層層深入 排除故障

初步分析受阻，于是筆者決定應用“科來網絡分析分析”工具捕獲并分析網絡中傳輸的數據包，進行網絡故障的排查。下面筆者詳述具體的排查過程：

1.配置抓包

在中心交換機上做好端口鏡像配置操作，并將分析用筆記本接到此端口上，啟動科來網絡分析系統5.0捕獲分析網絡的數據通訊，約2.5分鐘后停止捕獲并分析捕獲到的數據包。

2.查看連接 定位攻擊源

該中學校園網的主機約為1000臺，一般情況下，同時在線的有600臺左右。在停止捕獲后，筆者在科來網絡分析系統主界面左邊的節點瀏覽器中發現，內部網絡(Private-Use Networks)同時在線的IP主機達到了6515臺，如圖1，這表示網絡存在許多偽造的IP主機，網絡中可能存在偽造IP地址攻擊或自動掃描攻擊。選擇連接視圖，發現在約2.5分鐘的時間內網絡中共發起了3027個連接，且狀態大多都是客戶端請求同步，即三次握手的第一步，由TCP工作原理可知，TCP工作時首先通過三次握手發起連接，如果請求端向不存在的目的端發起了同步請求，由于不會收到目的端主機的確認回復，其狀態將會一直處于請求同步直到超時斷開，據此，我們現在更加斷定校園網中存在自動掃描攻擊。(如圖1所示)

圖1 在線主機結果顯示

詳細查看圖1的連接信息，發現這些連接大多都是由192.168.5.119主機發起，即連接的源地址是192.168.5.119。選中源地址是192.168.5.119的任意一個連接，單擊鼠標右鍵，在彈出的右鍵菜單中選擇“定位瀏覽器節點→端點1 IP”，這時節點瀏覽器將自動定位到192.168.5.119主機。

選擇圖表視圖，并選中TCP連接子視圖項，查看192.168.5.119主機的TCP連接情況，如圖2所示。查看圖2可知，192.168.5.119這臺主機在約2.5分鐘的時間內發起了2800個連接，且其中有2793個連接都是初始化連接，即同步連接，這表示192.168.5.119主機肯定存在自動掃描攻擊。(如圖2所示)

圖2 短時間內網絡內的同步連接數#p#

3.通過協議 確定攻擊方式

選擇數據包視圖查看192.168.5.119傳輸數據的原始解碼信息，如圖3。從圖3可知，這些數據包的大小都是66字節，協議都是CIFS，源地址都是192.168.5.119，而目標地址則隨機產生，目標端口都是445，且數據包的TCP標記位都將同步位置1，這說明192.168.5.119這臺機器正在主動對網絡中主機的TCP 445端口進行掃描攻擊，原因可能是192.168.5.119主機感染病毒程序，或者是人為使用掃描軟件進行攻擊。(如圖3所示)

圖3 協議和數據包顯示

找到問題的根源后，正準備對192.168.5.119主機進行隔離，這時因其它事情中斷分析工作約10分鐘左右。繼續工作，隔離192.168.5.119主機的同時再次將啟動科來網絡分析系統5.0捕獲分析網絡的數據通訊，約2.5分鐘后停止捕獲并分析捕獲到的數據包。

分析捕獲到的數據包，網絡中又出現了3臺與192.168.5.119相似情況的主機，且這些主機發起的同步連接數都大大超過192.168.5.119，圖4所示的即是其中一臺主機在約2.5分鐘內的發起的連接數，其中同步連接達到了6431個。

通過這個情況，我們可以肯定192.168.5.119和新發現的三臺主機都是感染了病毒，且該病毒會主動掃描網絡中其它主機是否打開TCP 445端口，如果某主機打開該端口，就攻擊并感染這臺主機。如此循環，即引發了上述的網絡故障。(如圖4所示)

圖4 找到可疑主機

4.隔離殺毒 解除故障

網管人員立即對新發現感染病毒的3臺主機進行隔離，ping測試響應時間立刻變為1ms，網絡通訊立刻恢復正常。

在分析中，筆者還發現，192.168.101.57主機占用的流量較大，其通訊數據包的源端和目的端都使用UDP 6020端口，且與192.168.101.57通信的地址227.1.2.7是一個組播IP地址，簽于此，我們推測192.168.101.57可能在使用在線視頻點播之類的應用，并因此對網絡資源造成了一定程度的耗費，其通訊數據包如圖5所示。對于這種情況，網管人員也應對其進行檢查，確定其合法性，以避免網絡帶寬被一些非關鍵業務所耗費。(如圖5所示)

圖5 查到可疑的在線應用

5.補充說明

需要說明的是，筆者在解決該網絡故障的過程中進行了兩次抓包，這兩次抓包相隔僅10分鐘的時間，通過對數據包的分析發現網絡中就被新感染主機三臺。

由此我們可以想象，如果不使用網絡檢測分析軟件捕獲分析網絡中傳輸的數據包，僅通過查看交換機的端口流量，或者使用單純的流量軟件，將很難找到問題的根源，這樣網絡中感染的主機會越來越多，最終將導致整個網絡的全部癱瘓。

四、總結

以上便是筆者診斷并排除該校園網故障的全過程，類似這種在網絡出現速度慢、時斷時續、不能訪問的網絡故障應該是管理員們經常遇到的，希望筆者的這個故障排除案例對于大家解決類似的網站故障有所幫助。另外，筆者認為掌握并利用網絡分析軟件(類似的軟件很多)往往能夠化難為易，幫助管理預案快速準確定位故障，從而盡快解決故障。

【編輯推薦】

1. 專題：網絡故障排除寶典
2. 校園網常見路由器故障維護方法