远程商业窃密引发丢包
中天设计院是甘肃省建设厅直属单位,网络规模不大。152台主机根据单位职能部门分为5个子网,分别由Hub连接到交换机。由于公司内部的协同办公比较频繁,除了一个在线视频系统外还部署了一台文件服务器,单独为一个子网提供数据的共享和交流。单位对外的Internet需求不是很大,通过路由器连接到Internet,网络拓扑见图1。
故障现象
某天,该单位的网络突然出现严重堵塞,主机间的数据频频中断导致协同办公不能正常进行,在线视频系统经常掉线。另外,无论是从文件服务器上传还是下载文件都异常缓慢,有时会因超时而中断。主机能够连接到Internet,但是网速缓慢。
初步判断
首先在一台主机上用ping命令测试到网关的连通性,输入命令“ping 192.168.2.1 -n 1000”发送1000个Ping包测试网关。测试结果是可以ping通网关,但是掉包现象很严重:1000个包有720个包丢了,丢包率为72%,持续掉包时间也很长。运行arp -a命令,发现网关IP和网关MAC地址指向正确。通过上面的测试基本排除网络设置错误以及ARP欺骗。
监控分析
于是在核心交换机上做镜像,用Sniffer对整个内网(五个子网)进行监控。首先进入“dashboard”(仪表面板),发现网络利用率达到了97%,这是很不正常的现象。笔者判断以该单位的网络规模以及日常业务量,网络利用率应该在20%~30%之间,有较大的网络冗余。这样我们可以断定,造成网络丢包的根源应该是异常流量占用大量的网络带宽所致。那这些异常流量来自何处呢?
切换到“matrix”(矩阵面板),发现MAC为00-0A-E6-98-84-B7的主机占了整个网络流量的57.87%。于是初步把目标锁定在该主机上,然后切换到“hosttable”(主机列表)继续分析。从该面板中,没有发现大量的广播包,因此完全排除了广播风暴影响。找到00-0A-E6-98-84-B7,对此主机分析,发现该主机的网络活动非常可疑,进入该主机的数据包才700多个,而出去的数据包在10多分钟内就有了几十万个包。
