编者按:网络系统被攻击而瘫痪,可能已经成为很多企业的常态,因此,我们需要采用Sniffer、Omnipeek、科来等网络分析工具来解决,从而保证企业的关键业务运行。
故障:进销存应用速度极慢 无法做账
锁定:135端口正在被DDOS攻击?
并非攻击,难道另有他凶?
真相大白:将IP地址设为了网关IP地址
石家庄某公司是一家销售代理公司,所有货品都通过用友U8.1进销存财务系统来进行管理。然而,最近一段时间来,公司的网络速度奇慢,不仅上网速度慢,访问用友U8.1进销存应用也受到了严重的影响。
故障:进销存应用速度极慢 无法做账
故障地点:
石家庄某公司
故障描述:
网络通讯严重阻塞,用户访问外网服务器以及互联网的速度均非常缓慢,甚至不能访问,PING网关延期,访问用友U8.1进销存应用速度极慢。
初步判断引起问题的原因可能是:
* ARP病毒
* 网络病毒攻击
开始实际工作调查:
1、 登录到各交换机,查看内存及CPU的利用率,均正常。
2、 通过OMNIPEEK捕获并分析网络中传输的数据包,具体过程如下。
在核心交换机上做好端口镜像,启动OMNIPEEK,约3.08分钟后停止捕获并分析捕获到的数据包。
XX公司网的主机约为300台,一般情况下,有200台左右上网,等停止分析后,我们在OMNIPEEK主界面左边的节点浏览器中发现的主界面查看,在EXPERT的Hierarchy中查看,诊断tcp connection refused时间竟然达到了5731个,感觉很是不对。如图:
进行定位查看,发现有一台计算机极为不正常如图:
由以上看到,可能被外部的DDOS攻击,可能是此计算机感染病毒,进一步查看如图:
锁定:135端口正在被DDOS攻击?
可以看到外网计算正在通过135端口正在扫描此计算机,因此可以断定正在被DDOS攻击,此计算机一定感染了木马之类的蠕虫病毒。
找到问题的根源后,正准备对CAI2主机进行隔离,过了一会儿,再次PING网关,还是延迟,但不是太严重了,感觉还是有计算机感染病毒或有ARP攻击,随即再次分析此包,但最终没有找到可疑的计算机,其间也关闭了几个流量有问题的计算机,但问题还是不能解决,正在百思不得其解时,突然脑子一动:何不尝试着通过分析我自己的计算机,再排查故障呢?
并非攻击,难道另有他凶?
目前的网络分析工具有很多,例如,Sniffer、Omnipeek、科来分析系统等。
笔者选择了科来网络分析系统6.7试用版啊?(笔者只有50个用户的抓包,因此刚开始选择了OMNIPEEK。)设置好过滤条件,这里为什么选在192.168.1.1呢,笔者怀疑是不是有人设置了和网关相同的IP地址呢?选择如下图:
打开自己的计算机进行PING,然后用科来进行抓包,58秒后如下图:
其中8c:68是笔者计算机的MAC,09:37为网关MAC,突然多出了一个A9:4D.查看分析如图:
怎么A9:4D会作为网关呢?请教此公司管理员,得知核心交换机到网关在无其他设备了,因此感觉此计算机是自己设错了IP地址,将自己计算机的IP地址设为了网关IP地址。
真相大白:将IP地址设为了网关IP地址
解决措施:
1、找到此计算机,果然是设置了与网关相同的IP地址,管理员对其进行了严重警告。
2、先前CAI2的计算机感染了木马病毒,通过360进行扫描,查杀后问题解决。
然后打包PING网关,一些OK
心得:
对于网络出现的问题,要认真分析,相信自己判断,多用几款协议分析软件是很用用的啊!
以上便是笔者使用科来和OMNIPEEK诊断该公司网故障的全过程,在网络出现速度慢、时断时续、不能访问时,网管人员均可使用这种方法对故障进行诊断排查。
