單位網(wǎng)絡(luò)異常緩慢的故障區(qū)分與處理

問題表現(xiàn)

　　一個上千臺電腦的政府單位， 有著高端防火墻和IDS產(chǎn)品， 突然出現(xiàn)上網(wǎng)速度緩慢， 甚至無法打開網(wǎng)頁的現(xiàn)象。 在機(jī)房中進(jìn)行ping包測試， 發(fā)現(xiàn)中心交換機(jī)到內(nèi)部主機(jī)的ping包響應(yīng)時間正常， 但ping外部DNS時響應(yīng)時間較長， 且出現(xiàn)間歇性丟包。 登錄到交換機(jī)， 發(fā)現(xiàn)交換機(jī)占用負(fù)載較大， 但防火墻和IDS都沒有對該事件進(jìn)行報(bào)警。 檢查交換機(jī)ARP表卻沒發(fā)現(xiàn)異常， 于是清除交換機(jī)的ARP表并重啟交換機(jī)， 但故障仍然存在。

　　原因分析

　　首先對網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行檢查， 管理者采用網(wǎng)絡(luò)分析軟件進(jìn)行抓包分析， 將網(wǎng)絡(luò)分析采集軟件部署在中心交換環(huán)節(jié)。 通過網(wǎng)絡(luò)分析軟件分析， 獲得了大量的真實(shí)數(shù)據(jù)， 從分析的結(jié)果數(shù)據(jù)中， 管理者發(fā)現(xiàn)以下問題：

　　1.由于網(wǎng)絡(luò)幾乎癱瘓， 網(wǎng)絡(luò)流量并不高， 兩分鐘的流量不足140MB， 但網(wǎng)絡(luò)連接數(shù)非常高， 達(dá)16540次;通過連接數(shù)排序， 找到連接數(shù)最大的IP地址是10.8.24.xx， 在兩分鐘內(nèi)收發(fā)的流量只有133M， 但連接數(shù)遠(yuǎn)高于其他IP。

　　2.網(wǎng)絡(luò)分析結(jié)果顯示445端口請求次數(shù)高， 并且都來自于IP為10.8.24.xx的主機(jī)。 從數(shù)據(jù)顯示， 它在向內(nèi)網(wǎng)所有IP發(fā)送445端口請求數(shù)據(jù)包， 產(chǎn)生的頻率每秒高達(dá)140次。

　　解決方法

　　1.隔離。 管理者發(fā)現(xiàn)問題后， 首先采取的措施是隔離問題源， 在交換機(jī)上拔掉10.8.24.xx機(jī)器的網(wǎng)線， 整個網(wǎng)絡(luò)恢復(fù)， ping外網(wǎng)IP響應(yīng)時間正常， 可以正常訪問網(wǎng)頁。

　　2.問題排除。 對主機(jī)10.8.24.xx進(jìn)行檢查時， 發(fā)現(xiàn)它在進(jìn)行大量BT下載， BT是一種點(diǎn)對點(diǎn)傳輸方式， 會大量占用網(wǎng)絡(luò)資源， 從而影響正常網(wǎng)絡(luò)訪問的速度， 網(wǎng)絡(luò)會變得很慢。 除此之外， 對10.8.24.xx進(jìn)行檢查， 這臺主機(jī)是內(nèi)網(wǎng)一臺重要服務(wù)器， 中了一種新的蠕蟲病毒， 并在內(nèi)網(wǎng)進(jìn)行大量掃描攻擊。 管理者通過專殺工具殺毒后， 服務(wù)器恢復(fù)正常。