順藤摸瓜 排除內因導致的故障

網絡故障的現象總是多種多樣，令人撲朔迷離。伹究其原因，大抵不外乎以下幾個層面的故障：一是物理層中物理設備相互連接失敗或者硬件及線路本身的問題：二是數據鏈路層的網絡設備的接口配置問題；三是網絡層網絡協議配置或操作錯誤；四是傳輸層的設備性能或通信擁塞問題；五是上三層或網絡應用程序錯誤。而如今，隨著黑客集團的迅速崛起，網絡病毒日益猖獗，病毒的種類繁多且隱藏較深，由病毒引起的故障占據了網絡故障的80％以上。所以，想成為一名優秀的網絡管理工程師，必須對時下的各種病毒特征有基本的了解，才能在遇到病毒引起的網絡故障時準確定位排除。

下面，借助筆者的一次親歷，向大家講述網絡病毒引起故障時的典型解決過程。

故障現象

2009年8月11日下午上班后，接到某省廳局機關單位技術人員電話，反映該單位直屬分局網絡訪問不正常，故障現象為ping包丟包嚴重，延時較大，不能順利訪問該廳局機關服務器。筆者所在的中心技術人員立刻組織排查。發現網管中心機房到該分局之間線路正常，網絡延時也很小，不存在問題。但網管中心機房到直屬分局網絡較不穩定，從網管中心核心路由器上ping直屬分局pc主機延時較大，存在丟包現象，且直屬分局用戶交換機存在時通時斷現象。

網絡拓撲圖如圖1所示：某廳局機關和直屬分局分別下掛網管中心網機房兩臺不同的交換機下面，然后匯聚到核心交換機B，上聯網管中心核心路由器A。

處理過程

1、經查三層路由器核心路由器A到某廳局用戶二層交換機之間的設備配置，不存在問題，且該廳局用戶反映，政務網的網絡正常，業務也運行正常。

2、核心路由器A到網管中心S3628F線路正常，設備之間互ping延時較小，而網管中心S3628F到直屬分局S3050之間丟包嚴重，可以確定。網絡故障出現在從S3628F到用戶內部之間。之后，我們把接到直屬分局的尾纖接到了網管中心S3026FS上，發現故障依舊，如圖2所示。

3、說明存在問題的地方為：網管中心到用戶之間的線路或用戶內部，此時，中心外派技術人員到局直屬分局測試當地到網管中心機房之間的光纜線路正常，經與廳局技術人員溝通，排查線路，理清情況后，得知直屬分局內部網絡結構如圖3所示。

4、運營商網絡光纜進用戶大樓后，經過光電轉換器，雙絞線聯入到一臺天融信防火墻。防火墻下掛一臺華為S3050交換機；S3050交換機下聯二樓辦公室用戶PC主機，其中一個端口下掛一臺無網管功能的Dlink1024交換機；Dlink1024交換機下掛一部分用戶，其中也有一個端口通過光纜下聯到一樓辦證大廳。辦證大廳Dlink上聯機房Dlink1024。下聯辦證大廳PC主機。直屬分局局域網內一共大概有約s。臺辦公主機。

5、網管中心技術人員對光纜進入用戶的光貓后面只掛了一臺PC主機，甩開用戶內部局域網。經測試，到政務網的piog包正常，到廳局服務器之間的plng包也正常，無丟包現象，延時為ims。由此可以判斷問題出現在直屬分局內部局域網，

6、之后恢復用戶局域網。去掉光貓與$3050交換機之間的防火墻，光貓直接連接$3050交換機。用戶反饋網絡正常，由于此時己過下午s點半。直屬分局工作人員反映，一般情況下，網絡在下午s點半后，故障會自動消失。故建議第二天觀察后。有異常情況再來現場診斷問題，

7、第二天(s月12日)上午l。點左右，網管中心技術人員又接到直屬分局工作人員電話，反映網絡故障壩象重復出現，網管中心技術人員隨即趕赴現場，重復前一天的操作，p i n z包正常。到該省局服務器之間的plng包也正常，無丟包現象，延時為ims。網絡一切正常。恢復以前原狀后，網絡根本不通，后來在將$3050交換機上聯政務網的端口鏡像到接筆記本的端口，在筆記本上啟動抓包軟件，如圖4所示。

通過監控抓包軟件發現。直屬分局用戶內部局域網存在大量的ARP廣播報文，同時還存在目的端口為445的大量數據包。很明顯。這是震蕩波病毒在作怪，該病毒通過掃描網絡上具有漏洞的系統，試圖利用windows的LSASS中存在一個緩沖區溢出漏洞進行攻擊。通過拔掉用戶PC主機網線檢測，發現該局直屬分局局域網內只有極少部分主機沒有感染病毒，另外，通過用戶電腦主機發現，幾乎所有的電腦沒有安裝殺毒軟件，安裝了殺毒軟件的電腦主機也沒有更新病毒庫。

通過拔掉所有的用戶電腦主機網線，在華為$3050交換機下面只掛一臺電腦主機，網絡訪問正常，ping包延時較小。且將防火墻加載上后，網絡訪問也正常(上午加載防火墻網絡訪問不通是由于該局技術人員誤接了防火墻的內、外網口導致)。可以判斷出。由于直屬分局用戶內部存在大量的病毒主機，在局域網內發送大量的ARP異常請求，再加上震蕩波病毒作祟，造成用戶出政務網交換機S3050超負荷運轉，無法處理正常的網絡訪問請求，從而使得用戶訪問廳局服務器丟包，政務網網管中心上檢測用戶交換機$3050丟包。

故障結論

用戶內部電腦主機中毒所致。建議所有電腦主機更新殺毒。第二天電話反饋跟蹤用戶故障處理結果，反應經內部殺毒后，網絡恢復正常。

由此可以得出：病毒引起的網絡故障，在現象上往往有以下共性：1 單獨一個局域網發作，不會跨局域網影響；2 造成整個局域網癱瘓，進而會轉移我們技術人員的注意力。通常來講，在沒有更改協議以及物理鏈路都工作正常的情況下，我們不妨多從病毒的角度去思考。

營造一個安全順暢的網絡環境，需要用戶端電腦及時打好操作系統補丁，更新殺毒軟件病毒庫；需要我們網管在交換機、路由器設備上及時做好針對各種病毒、木馬的ac1，過濾一些有害的端口，保障網絡的穩定運行。