巧用排除法进行网络中故障的排除简介
2008-02-23 07:18:09来源:互联网 阅读 ()
由于地域限制的原因,我城域网分布在两个地区,由A网络和B网络构成,通过Router1 和Router2的广域网接口互连,并通过两个ISP出Internet,而且在一端Internet或防火墙有问题时,可以互转至另一端出Internet,所有核心设备的路由采用的是OSPF。网络系统结构如图所示。
本网络的安全系统部署了防御外部攻击的防火墙和一套不完善的防病毒系统,没有安装IDS和相应网络管理及监控软件。
上网出现异常
某日21:00,用户故障台申报A网络不能上外部Internet,但是A网络访问B网络提供的Web服务及其他应用服务正常,同时B网络一切正常。
我们远程进入系统检测发现防火墙出了问题,按照常规重启防火墙,结果还是不行;再通过系统设置将我们A网络的外网出口转至B网络出口,发现B网络上网突然变慢,而且有中断的情况。开始我们认为那是流量较大的原因导致PIX2处理不及,但是后来PIX2瘫痪,A、B网络都不能上Internet,这和我们平时互转Internet不一样,我们分析A网络有问题,结果我们一撤消互转,PIX2即恢复正常。
日志中找到蛛丝马迹
1.故障信息的获得
1)进入核心Router1
|
系统正常。
2)进入核心Switch1
系统资源占有率为11%,而且ARP和IPReceive占用CPU分别为0.09%和2%,一切和平时基本一样,没有异常现象。
3)近端进入PIX1防火墙的审计系统观察到如下大量的信息,如表1所示。
|
进入防火墙安全控制台,调出生成的NAT记录全部如下:
|
该类记录一直出现 ,同时显示防火墙资源耗尽。
故障分析
1)常规经验
根据我们的经验,冲击波或震荡波等网络病毒发作攻击防火墙时一般不带隐蔽性,通过防火墙的审计系统和部署的防病毒服务器可以查出病毒源头的IP或占用的TCP端口,在系统里通过Router和三层Switch的ACL将源IP和所占用的TCP端口封闭然后再找源IP即可解决问题。
2)故障表现
这次故障从整个系统来看,交换机、路由器、防病毒服务器的所有记录没有显示出有大规模的病毒发作,因此我们排除了是病毒发作的可能性。
从防火墙的信息可以看出,整个防火墙的内核事件全部为:
“从119.206.107.154(351)到69.56.141.67(80)的TCP包未找到相应的连接”,NAT记录也显示了同样的信息,源IP和源TCP端口在不断地变化,源IP为外部地址,目标IP也是外部地址,目标TCP为80端口,整个故障现象给人的感觉不像网络病毒发作,更不像通常的冲击波蠕虫病毒和震荡波蠕虫病毒,而且将A网络的出口一转至B网络上就导致B网络上Internet不正常。
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:杀毒软件自我保护机制与木马对策
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
