某公司網(wǎng)絡PING延遲故障案例解析、解決方案

某公司網(wǎng)絡PING延遲故障案例解析故障描述故障地點：石家莊某公司故障描述：網(wǎng)絡通訊嚴重阻塞，用戶訪問外網(wǎng)服務器以及互聯(lián)網(wǎng)的速度均非常緩慢，甚至不能訪問，PING網(wǎng)關延期。如圖：pom1^2=16?=1:rorn192.1GS.1.1：-i'oinpom1^2=16?=1:rorn192.1GS.1.1：-i'oin192a168alal：rorn±；me192.168_1_1：timedout.bytes=1024bytes=1W24bytes-d.024bytes=1024bytes=1024bytes-1024b^ftes=1(324tlirie-5iTisTTL^255tine=4nsTTL=255tinc-4msTTL-255tine=10r?sTTL=2^Stine=lln?：TTL=255time-6insTTL-2551:ime=9niaTTL=2S5rom=vcrn1^2.168_1_1:ron=sm=L'oinruin：bytes=1024bptes=1S24b^Ftcs-1024bytes=1024bytes=1024bytes-1024humR=1叫4time-lliTisTTL^255t.ime=3nistinc-5nstime-8mstine=4ns七ime-4msTTL=255TTL-255TTL=255TTL=2E5TTL-255*jmI1mF__TTL=W耳SARP病毒網(wǎng)絡病毒攻擊開始實際工作配置登錄到各交換機，查看內(nèi)存及CPU的利用率，均正常。通過OMNIPEEK捕獲并分析網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包，具體過程如下。在核心交換機上做好端口鏡像，啟動OMNIPEEK，約3.08分鐘后停止捕獲并分析捕獲到的數(shù)據(jù)包。某公司網(wǎng)的主機約為300臺，一般情況下，有200臺左右上網(wǎng)，等停止分析后，我們在OMNIPEEK主界面左邊的節(jié)點瀏覽器中發(fā)現(xiàn)的主界面查看，在EXPERT的Hierarchy中查看，診斷tcpconnectionrefused時間竟然達到了5731個，感覺很是不對。如圖：EventSummaryEiitrie^:LayerIventLegB"adeDetails10.97B_.E蛇ntCount_^ZTr.arispurtTCP1CoririectionRefused^731"ApplicationHTTPbioi-\iH.espunseTime1..593VTransportTCPLowWindow754。Client/server引口向ServerResponseTime570電j>TranspurtTCF1SlowA匚kriu'A'Iedqernent+34"TransportTCPRetransmissionZ39。TranspurtTCPSlowFirstRetransmission192進行定位查看，發(fā)現(xiàn)有一臺計算機極為不正常如圖:qp幻。＞ijsiH昭!,■'固]r'-'^1T5-^5ELfliLoqP-sijrt.ScpurcebwtridbDnIPLernAhDPIDPebtiYeExpert12019勺|222.222.1K17j!i?皿64W00.001HiB-archy12DE4j1rnqyab?.JW[Lal.nte192.1bB.1.2S4h44D0D.oa:F屈12093iI5E皿64u0.Q3I1309^1_332,222.11rl.5CAISIM0..0,0.31Wtib1211L1Iau-252.UQbiafiJ!：＜hX&-DF9l]-j9^5e￡6440UOAQ!，由我蒞12136gI2S3.S2S.6,13CATS64更00-15!dents12137j222.Z2Z.11.13「rjiizh44D0CL13!PA呷12219』22B.E2E.6.1BCAIS64更ClCUHReq|_E5ts1Z2ZDjZZZ.ZZZ.11.IS■LAIE644D0D.zai^Dice&VriiEo12230JI6，匚皿64miu口亶3!1Z23L22E.222.11.IScanS44DD0.23!12303*23L92.b56Bl.B664SU0.30.13311g15!L92.1￡3.1.B864敏l0emi目1lilW■「口TNHd.■artnn_id?P凱岫13^aaoD[4fim日wkQxar：%aaniDLoo...i.s..[43]?aa(Noc^ajsstiiinwiBdgJEBducticaj…(Nc＞ECJAE0邙]?aafjfcIZrtfBeitpointer.!22222?.ll.l8U□UZGDB-mHflwa-1]T3]394531ciLCjiib?z-uidai.nehhdnsb.ccuzn-sx.m由以上看到，可能被外部的DDOS攻擊，可能是此計算機感染病毒，進一步查看如圖:N00B5FratocakSunnaryS}[-teEiODDO[46HukOWDF]EiQDDlDiaD...fl.J?..[47]EcaptweIKHI44：1-"1[PV矽Ar如由整CAI2192,166,1.3-5X6XB-PF9O3PJ35SA135.L5B.L.L6413E,L6B,1.00219,133^0.114219,133^0.55皿BEi<peftHerarchyFlatMrkmtfcm5ei-?ers□ie「MP琢5Rjec^iestiAVoice&Vidk±u58,251,63,223Cals490.2S2.11D.LJ￡T必Bytef%TotalBytesP?tet￡5ert139,63300司L39W03Z,3LE03Z,3LE011Z5ED23011Z5ED23011『3先27311,39217911.0721T3可以看到外網(wǎng)計算正在通過135端口正在掃描此計算機，因此可以斷定正在被DDOS攻擊，此計算機一定感染了木馬之類的蠕蟲病毒。找到問題的根源后，正準備對CAI2主機進行隔離，過了一會兒，再次PING網(wǎng)關，還是延遲，但不是太嚴重了，感覺還是有計算機感染病毒或有ARP攻擊，隨即再次分析此包，但最終沒有找到可疑的計算機，其間也關閉了幾個流量有問題的計算機，但問題還是不能解決，正在百思不得其解時，突然腦子一動：何不嘗試著通過分析我自己的計算機，再排查故障呢？于是筆者選擇了科來網(wǎng)絡分析系統(tǒng)6.7試用版??？（筆者只有50個用戶的抓包，因此剛開始選擇了OMNIPEEK。）設置好過濾條件，這里為什么選在呢，筆者懷疑是不是有人設置了和網(wǎng)關相同的IP地址呢？選擇如下圖:慨玉教rr|陌虱胴泉i：av<?mi*］配阡櫻的巴口冶囹花也夜工程蛙IX。為町-鄒畫音-西口，篇-工程蛙IX芯篁規(guī)蚓網(wǎng)拓適配器?導過說器］可已志設胃II閥診斷設置II拒絕］?攻ICFWFBierl上移皿不止LLL位地批?攻ICFWFBierl上移皿不止LLL位地批其中8c:68是筆者計算機的MAC，09:37為網(wǎng)關MAC，突然多出了一個A9:4D,查看分析如圖:rn/M]［「括］點rn/M]［「括］點埔蘇記度;B時間戮:--因特網(wǎng)協(xié)議[14/20]1!■—?皈市=4[14/L]QxFO?頭訛蛇.璧：5（20字辛）[14/1]OkDF4.J71SF:OOOQ0000【IV]OxFF…序氣啟：1052（1052字節(jié)）[16/2]??存板方：QX42D.5（171091分段標志：OULL?■??[20/L]OxEO3保留；[20/L]0x60。分溟：［可能分段）［20；l］D:<-10D豆字分股：i最后一■■作段）0-2C..樣尸段偏移呈：D[2n./?]OwlFFP-?生存時間:255[22/1]上后山，以：1IlCHF）[Z3/L]??-凈校技和:QXFIMiJE確i[Z4/2]IFZrTTiti-1-^7—^ZLi/4J192.L68-l-2^_—[:EiJ/4]怎么A9:4D會作為網(wǎng)關呢？請教此公司管理員，得知核心交換機到網(wǎng)關在無其他設備了，因此感覺此計算機是自己設錯了IP地址，將自己計算機的IP地址設為了網(wǎng)關IP地址。解決與心得分解決1、找到此計算機，果然是設置了與網(wǎng)關相同的IP地址，管理員對其