Sniffer Pro幫網(wǎng)管準確的定位網(wǎng)絡故障

1、SnifferPro幫網(wǎng)管準確的定位網(wǎng)絡故障發(fā)布時間：2007.06.1204:56來源：賽迪網(wǎng)-中國計算機報作者：李利軍當一個網(wǎng)絡出現(xiàn)故障時，需要由網(wǎng)絡管理員查找故障原因并及時修復。但局域網(wǎng)一般都由幾十臺到幾百臺計算機，以及多臺服務器、交換機、路由器等設備組成，一旦出現(xiàn)故障，管理員需要全面檢查這些設備是否正常運行、各個端口的連接是否正常，檢查故障是否是黑客或木馬所為，工作量十分巨大，同時排除故障也非常麻煩。但是有了SnifferPro之后，就可以很容易地定位出網(wǎng)絡的故障所在。下面是幾個SnifferPro分析應用實例，整理出來和大家一起分享。外部主機惡意掃描內(nèi)網(wǎng)故障現(xiàn)象使用SnifferPr

2、o在代理服務器VLAN監(jiān)控網(wǎng)絡傳輸狀況時，發(fā)現(xiàn)有一個IP地址的并發(fā)連接數(shù)量非常多，如圖1所示。由于局域網(wǎng)的IP地址范圍為211.82.216.0211.82.223.0,所以顯然該IP地址是來自外網(wǎng)的IP地址。圖1外部主機惡意掃描故障分析由于網(wǎng)絡采用MicrosoftISA群集作為代理服務器，實現(xiàn)Internet連接共享，因此,沒有更多的對抗惡意掃描的措施，這時最好采用防火墻來保證整個網(wǎng)絡的安全。故障解決如果不采用布置防火墻的方式，而是修改核心交換機上創(chuàng)建的、應用于代理服務器VLAN的IP訪問列表的方式，則需要在該IP訪問列表中的“permitipanyany”之前添加相應的規(guī)則，從而禁止任何

3、計算機訪問該主機，并禁止該主機訪問任何計算機。PPLive軟件導致網(wǎng)速變慢故障現(xiàn)象最近一段時間，局域網(wǎng)內(nèi)用戶反應Internet連接速度變慢。據(jù)觀察，Internet接入速度在下午4:00左右開始下降，在晚上8:00的上網(wǎng)高峰時，甚至只能使用QQ聊天，而無法打開Web網(wǎng)頁。故障分析開始使用SnifferPro監(jiān)控代理服務器VLAN的Internet連接情況。當Internet連接正常時，傳輸?shù)貓D應大致如圖2所示。圖2網(wǎng)絡連接正常然而，在Internet的接入速度忽然變慢后，再查看傳輸?shù)貓D時，發(fā)現(xiàn)某些計算機的并發(fā)連接數(shù)量非常多，如圖3所示。圖3個別計算機有大量連接將并發(fā)連接數(shù)量過多的計算機突出顯

4、示時，發(fā)現(xiàn)這些計算機竟然同時有幾百個連接，如圖4所示。圖4突出顯示故障計算機通常情況下，正常的用戶連接地圖應當如圖5所示，只有幾個至幾十個連接，而且這些連接并不會同時并發(fā)訪問。圖5正常用戶連接狀態(tài)通過查詢相關(guān)文檔中的IP地址分配列表，可知這些計算機只是一些的普通計算機，并沒有提供任何網(wǎng)絡服務。因此，如此眾多的并發(fā)連接，顯然是安裝并使用了某個P2P軟件，或者是遭遇了網(wǎng)絡攻擊。根據(jù)故障計算機的IP地址找到這些計算機后，在檢查這些計算機時，果然發(fā)現(xiàn)安裝有PPLive軟件正在在線使用，且修改了應用程序的默認端口。然而，應用于交換機的IP訪問列表沒有能夠阻止這些連接。故障解決鑒于PPLive軟件可以由用

5、戶任意指定端口號的情況，IP訪問列表中只限制默認端口的方式已不再有效。因此，必須改變IP訪問列表的設計策略。于是，我們將只拒絕特定端口的方式，改變?yōu)橹辉试S特定端口的方式，從而基本杜絕了PPLive軟件的大量使用。P2P軟件謀殺網(wǎng)絡連接共享故障現(xiàn)象某局域網(wǎng)內(nèi)有1200個計算機用戶，采用兩臺ISAServer群集實現(xiàn)Internet連接共享。服務器硬件配置均為IntelXeon3.0CPU、GB內(nèi)存、CSI72GB硬盤。然而，最近幾天Internet接入速度變得非常緩慢，瀏覽普通網(wǎng)頁都要等待很長一段時間，甚至還經(jīng)常提示超時連接。故障分析查看ISA報告后發(fā)現(xiàn)，許多用戶的上下行流量都很大。僅流量排名前

6、15位的用戶，每天的總流量就高達38.22GB，其中，輸入流量32.41GB，輸出流量5.81GB。而前3位用戶的總輸入流量為3.05GB，總輸出流量為2.85GB。由于代理服務器只為普通網(wǎng)絡客戶端提供Internet接入服務，因此，網(wǎng)絡流量不應該如此之大，這說明在局域網(wǎng)中極可能有大量用戶在使用P2P軟件。使用SnifferPro監(jiān)控代理服務器VLAN時，也發(fā)現(xiàn)大量用戶的并發(fā)連接數(shù)量很大，如圖6所示。故障解決在核心交換機上設置IP訪問列表，將其應用于代理服務器群集所在的VLAN，并禁用一些蠕蟲病毒的端口和常見P2P軟件的端口，IP訪問列表內(nèi)容如表1所示。表1開始的一段時間，Internet的訪

7、問速度明顯地得到了提升。然而，過了一周左右時間后，Internet連接速率又慢慢降了下來。使用SnifferPro監(jiān)測時，又發(fā)現(xiàn)了大量的并發(fā)連接。原來許多P2P用戶修改了默認的TCP端口，因此，原來的IP訪問列表已經(jīng)不起什么作用了，需要重新修改IP訪問列表。于是，這次只開放一些常見的和必需的Internet端口，而禁用其他所有端口，修改后的IP訪問列表內(nèi)容如表2所示。表2此后，Internet連接就一直保持正常了。交換機CPU占用率高達99%故障現(xiàn)象網(wǎng)絡訪問和Internet連接速率明顯變慢，計算機的反應也較為遲緩。故障分析登錄到核心交換機CiscoCatalyst4006，使用“1showp

8、rocessescpu”命令查看CPU資源，從系統(tǒng)輸出的信息可以看到（如圖7所示），CPU在5秒、1分鐘、5分鐘內(nèi)的占用率高達99%、99%和98%。其中，Cat4kMgmtLoPri進程的CPU占用率分別為82.63%、82.25%和80.68%。這里，我們先簡要說明一下Cat4kMgmtHiPri和Cat4kMgmtLoPri兩個進程的原理。當某個進程占用CPU時間沒有超過規(guī)定的CPU分配時間時，Cat4kMgmtHiPri進程便會接管這個進程；而當Cat4k平臺上某項進程占用CPU超出了應分配的CPU時間時，Cat4kMgmtLoPri進程會接管這項進程，使其他進程能夠得到CPU時間。圖7CPU占用率高達99%從故障的現(xiàn)狀可以看出，Cat4kMgmtLoPri進程的CPU占用率超過了80%。因此基本可以斷定是某個進程的CPU占用時間大大超過了應該分配的時間，Cat4kMgmtLoPri進程試圖接管這一進程，從而導致了Cat4kMgmtLoPri進程的CPU占用率非常高。依據(jù)這一思路，只要找到該進程將其關(guān)閉，就能夠找出CPU占用率過高的原因并解決這個問題。故障解決使用SnifferPro查看網(wǎng)絡通信情況，我們發(fā)現(xiàn)許多計算機同時與網(wǎng)絡內(nèi)部的多臺計算機通信（如圖8所