论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2008-02-17 00:18 |只看该作者 |倒序浏览

当一个网络出现故障时，需要由网络管理员查找故障原因并及时修复。但局域网一般都由几十台到几百台计算机，以及多台服务器、交换机、路由器等设备组成，一旦出现故障，管理员需要全面检查这些设备是否正常运行、各个端口的连接是否正常，检查故障是否是黑客或木马所为，工作量十分巨大，同时排除故障也非常麻烦。但是有了Sniffer Pro之后，就可以很容易地定位出网络的故障所在。下面是几个Sniffer Pro分析应用实例，整理出来和大家一起分享。　　外部主机恶意扫描内网 \r\n　　故障现象 \r\n　　使用Sniffer Pro在代理服务器VLAN监控网络传输状况时，发现有一个IP地址的并发连接数量非常多，如图1所示。由于局域网的IP地址范围为211.82.216.0～211.82.223.0，所以显然该IP地址是来自外网的IP地址。 \r\n　　\r\n　　图1 外部主机恶意扫描 \r\n　　故障分析 \r\n　　由于网络采用Microsoft ISA群集作为代理服务器，实现Internet连接共享，因此，没有更多的对抗恶意扫描的措施，这时最好采用防火墙来保证整个网络的安全。 \r\n　　故障解决 \r\n　　如果不采用布置防火墙的方式，而是修改核心交换机上创建的、应用于代理服务器VLAN的IP访问列表的方式，则需要在该IP访问列表中的“permit ip any any”之前添加相应的规则，从而禁止任何计算机访问该主机，并禁止该主机访问任何计算机。 \r\n　　PPLive软件导致网速变慢 \r\n　　故障现象 \r\n　　最近一段时间，局域网内用户反应Internet连接速度变慢。据观察，Internet接入速度在下午4:00左右开始下降，在晚上8:00的上网高峰时，甚至只能使用QQ聊天，而无法打开Web网页。 \r\n 故障分析 \r\n　　开始使用Sniffer Pro监控代理服务器VLAN的Internet连接情况。 \r\n　　当Internet连接正常时，传输地图应大致如图2所示。 \r\n　　\r\n　　图2 网络连接正常 \r\n　　然而，在Internet的接入速度忽然变慢后，再查看传输地图时，发现某些计算机的并发连接数量非常多，如图3所示。 \r\n　　\r\n　　图3 个别计算机有大量连接 \r\n　　将并发连接数量过多的计算机突出显示时，发现这些计算机竟然同时有几百个连接，如图4所示。 \r\n　　\r\n　　图4 突出显示故障计算机 \r\n　　通常情况下，正常的用户连接地图应当如图5所示，只有几个至几十个连接，而且这些连接并不会同时并发访问。 \r\n　　\r\n　　图5 正常用户连接状态\r\n　　通过查询相关文档中的IP地址分配列表，可知这些计算机只是一些的普通计算机，并没有提供任何网络服务。因此，如此众多的并发连接，显然是安装并使用了某个P2P软件，或者是遭遇了网络攻击。 \r\n　　根据故障计算机的IP地址找到这些计算机后，在检查这些计算机时，果然发现安装有PPLive软件正在在线使用，且修改了应用程序的默认端口。然而，应用于交换机的IP访问列表没有能够阻止这些连接。 \r\n　　故障解决 \r\n　　鉴于PPLive软件可以由用户任意指定端口号的情况，IP访问列表中只限制默认端口的方式已不再有效。因此，必须改变IP访问列表的设计策略。于是，我们将只拒绝特定端口的方式，改变为只允许特定端口的方式，从而基本杜绝了PPLive软件的大量使用。