網絡診斷工具—利用網絡通信分析系統診斷網絡故障

網絡診斷工具—利用網絡通信分析系統

診斷網絡故障

    前面我給你們講到一些診斷網絡故障的命令，顯然有時候命令來的不夠直觀或者說是命令用的不夠嫺熟，這樣直接會致使咱們對診斷時間上大大增長，今天我來和你們一塊兒去利用一些專業的網絡故障診斷工具來分析網絡故障，這樣利用診斷工具的人性化的 GUI 界面分析網絡來的更加直觀，更加高效。

    場景是這樣的：某公司遇到這樣的網絡故障，同時接上兩個外網出口時，整個網絡訪問通信出現異常，網絡速度異常緩慢，不少用戶甚至不能上網，在客戶端進行 ping 包測試時發現，本地客戶端嚴重丟包，斷開網通的外網出口，網絡卻又恢復正常， ping 包測試也無異常。

　　該公司大概有 100 多臺電腦，採用雙 WAN 出口（電信和網通）訪問互聯網，網絡結構較爲簡單，外網 —— 路由器 —— 主交換機 —— 二層交換機 —— 客戶端。

　　故障分析：因爲在斷開網通的線路後，網絡訪問正常，初步懷疑是網通線路問題，因而用筆記本單獨接網通線路測試，一切正常，因此首先排除了網通線路的問題。在排除線路問題後，咱們將問題重點放在了內網主機檢查上。因爲網絡速度緩慢而且出現斷網的狀況，因此懷疑網絡中有主機感染 ARP 或其餘蠕蟲病毒***致使網絡癱瘓，因而決定用網絡分析系統抓包分析，在中心交換機上作好端口鏡像，在筆記本上安裝網絡分析系統（以科來網絡分析系統爲例），將筆記本接到中心交換機的端口上，啓動網絡分析系統開始捕獲數據，約 6 分鐘後中止捕獲並分析捕獲到的數據包。

　　咱們首先了解網絡的總體運行狀態，在概要統計視圖中能夠看到：網絡的總共流量爲 1.828GB ，而利用率則達到了近 80 ％，這是網絡緩慢的一個重要指示參數。咱們再看 TCP 的參數信息，此處， TCP 的同步數據包與結束鏈接數據包分別是 17796 和 9963 個，由 TCP 的工做原理咱們知道， TCP 在工做時首先會經過三次握手創建鏈接，數據傳輸完成後，必須關閉鏈接，在創建握手的時候，會產生 2 個同步數據包，而關閉鏈接的時候，也會產生 2 個同步數據包，因此，理論狀況下， 1 個 TCP 鏈接的同步數據包與結束鏈接數據包應該大體相等，若是兩者的數據包相差較大，說明當前的網絡傳輸不正常。以下圖：

 

    選擇端點視圖，咱們發現， IP 地址爲 192.168.1.2 這臺主機的網絡鏈接數較多，而且流量也比較大，因此，咱們定位這個 IP ，單獨對其分析。　　在節點瀏覽器中選擇 192.168.1.2 ，打開矩陣鏈接視圖，咱們看到，該主機的通信主機數達到了 1000 個，而且很大一部分爲單向流量，以下圖：

 

    打開圖表視圖，咱們查看該主機的 TCP 鏈接狀況。從中能夠看到，該主機的 TCP 同步數據包、結束鏈接數據包以及復位數據包的比例，以下圖：

 

　打開會話視圖，查看該主機的TCP會話狀況，以下圖：

 

    在該主機的 TCP通信中，咱們能夠看到：該主機嘗試經過不一樣的端口試圖與其餘IP創建鏈接，發送的數據包大小均爲246B，可是，並無收到目標主機的任何迴應數據包，這說明，其發送的同步數據包被目標主機復位終止了鏈接或目標主機均爲異常的IP地址，是該主機感染病毒後隨機向其餘主機發送同步鏈接數據包以試圖感染其餘主機。因此，綜合以上的判斷，咱們肯定，192.168.1.2這個主機感染蠕蟲病毒，正在發送大量的數據包進行掃描以試圖感染其餘主機。

　　經過相似的方法，咱們發現： 192.168.1.94 這個 IP 也存在一樣的行爲，不過，掃描方法由 TCP 掃描變爲了 UDP 掃描，目標主機也基本是內網 IP ，而且，其發包的頻率也很是快， 1 秒左右的時間就會發起 10 個一樣的數據包，以試圖***或感染其餘主機，對網絡帶寬的耗費是很是嚴重的。以下圖：

 

 

 

    其次，經過 UDP 會話，咱們還發現， IP 地址爲 192.168.1.13 的這個主機也存在異常狀況，該主機基本全是接收的數據包並無發送數據包，外網 IP 不斷嘗試鏈接該主機的 3325 端口，這就說明，該主機感染了***病毒或正在被***。以下圖：

 

    發現 192.168.1.2 與 192.168.1.94 感染病毒，而 192.168.1.13 則被植入病毒，從而致使網絡幾近癱瘓。至此，經過科來網絡分析系統對網絡通信的分析，網絡故障全面排除。有時候咱們恰當的用好網絡診斷工具將會對咱們分析網絡故障顯得更加直觀，問題解決的也會更快點。