用FLUKE683诊断出病毒造成的网络故障

!#$%&''()**+++,-.&/.0,123网络故障诊断案例分析用FLUKE683诊断出病毒造成的网络故障安恒-Fluke网络维护学院第1页安恒公司用ErrorStats察看没有错误以上两项说明本网段硬件可能没有问题用MACMatrix察看前几个流量最大的MAC地址都是Broadcast而且还在不断迅速增加用ProtocalMix察看ARP协议占95-99%进一步察看发送ARP的具体MAC地址发现前三个流量最大约占80%记下地址用InternetTCP/IP中的SegmentDiscovery察看ProblemsNoneSeen没有问题LocalHosts查3个MAC的IP一个IP是网关即PH7K另两个IP是信息中心软件二室的机器软件二室的所有机器是通过一个HUB上联至信息中心的一个交换机断掉软二的HUB后整个网络有明显好转以上工作说明核心路由PH7K的硬件没有问题造成网络瘫痪是由于某些机器发出大量数据包所至PH7K发出的大量广播包也是转发其他机器的数据所至因此工作重心开始由PH7K转向其下的各个子网用NIC/HubTests测试软二两台机器的网卡结果网卡没问题同时软二的机器之间通过HUB仍能相互通信这说明故障出现在软件方面而非硬件一种可能是系统进程出了问题但不应该两台以上的机器同时出了毛病另一种可能是病毒用瑞星杀毒软件12.34版杀毒没有发现病毒上瑞星网站察看最新版仍是12.34也没有发布新病毒最后重新启动两台机器用FLUKE683再测ARP已明显减少此时只能怀疑进程出了问题这就是第一天的检查结果接下来的工作就是用FLUKE683查找其他网段发送大量ARP的机器这时的网络仍是时好时坏运行很不稳定8月7日星期二PH7K下的各个子网有的是用双绞线与其上联有的是用单模或多模光纤上联用FLUKE683对各网段逐一排查发现大量的ARP仍是来自上联口PH7K问题又集中到了PH7K这期间用FLUKE683测试软件二室被断掉的小网发现那两台机器又开始发送大量的ARP广播如果重启只会正常一段时间过后现象依旧使用FlukePI协议分析软件对ARP帧解析时发现其请求的都是未在线的IP地址在线的IP已作了应答通过对在线单机的防火墙拦截日志发现通过ATM骨干网来自其他网段IP的大量80端口请求WEB请求其中也有本网段IP的80端口请求问题查到这里可以断定有人在大量攻击WEB服务器一些被感染黑客病毒的机器也在大量攻击WEB服务器但这些攻击对HUB和交换机并不产生影响大量数据只导致核心路由拥塞造成整个网络瘫痪!#$%&''()**+++,-.&/.0,123网络故障诊断案例分析用FLUKE683诊断出病毒造成的网络故障安恒-Fluke网络维护学院第2页安恒公司接下来的事情就是各单位自扫门前雪查杀自己单位染毒机器给系统打补丁全文完