某互联网故障分析报告
渭南市地税内网现状报告
1、网络环境
1. 现状描述
内网的结构比较简洁,通过核心和路由设备直接相连,示意图如下所示:
内网出口走的是路由模式,内部员工上网通过桌面认证访问上级网络。
2. 网络现状简单描述
偶有打开系统页面速度较慢,内外网混淆现象,客户端机器有360和搜狗输入法类第三方工具软件,网络中充斥大量的第三方工具软件升级包信息;部分机器存在蠕虫病毒和后门程序。
1.2. 现状分析
1. 数据包分析
1) 分析防火墙有无丢包、延时。
同样的,我们做故障还原测试,并利抓包软件来抓取网络通信的数据包,同时在客户端进行抓包。
通过测试得到如下的数据包:
通过以上述数据可看出
1、内网中有大量的基于NETBIOS的访问或137.138.139的蠕虫攻击或DDOS的攻击,ARP
值处于比较大的状态(一般参考值不
大于10%),或由于使用了大量的简单交换,MAC表大刷新或老化造成ARP数值居高不下。
2、156.32.18.x 向广播地址156.32.18.255发送了大量的基于www.163.com和www.sohu.com的DNS请求,但由于156.32.18.255无法解析此DNS的请求,造成大量的广播包无法处理与抛弃处理。
3、同时由于156.32.18.120 存在ARP病毒,或已篡改广播地址MAC地址,造成156.32.18.120伪造广播地址的MAC,网内充斥了大量虚假的广播地址包。
1.3. 总结
我们在上面的分析中可以看到,核心交换机上抓包,发现凡是到核心口的数据包都转发到路由器出口处了,主要问题还在网络中充斥大量的广播杂波。
说明:
1、 以上数据均为在用户授权情况下所获得。
2、 我公司恪守保密相关规定,未经用户许可不会向任何第三
方提供抓包数据及分析数据
3、 引用数据均为Ethereal v9.0软件提取。
渭南众嘉电子科技开发有限公司 2003.3.20