網絡故障分析報告

網絡故障分析報告

一、1XXXX轉5故障現象描述

該網絡有9台計算機，採用一台S3XXX通過迎賓苑S8XXX接入DCN網絡，在今天出現個別機器斷網的現象，具體現象為隔一段時間就有一台或幾台機器DCN網絡中斷，重啟或者拔掉網線再接上恢復正常。

二、網絡故障分析及定位

從上面描述的故障現象來看，問題似乎與S3XXX下9台計算機有關（在此前聯繫馬曉偉從高科技機房測試無丟包、斷線等現象，網絡正常）。

為了首先恢復業務的正常使用，對S3XXX做了如下操作。

1、因為昨天剛從此S3XXX上21口開LAN業務供9XXXX做互聯星空測試使用，所以懷疑是否21口上網有病毒感染到局域網。首先對S3XXX各個端口做了端口隔離，做完之後故障現象依舊。

2、由於做端口隔離故障依舊，而計算機都是上一會就斷，重啟後又可以上網，和馬曉偉聯繫後懷疑為ARP地址欺騙攻擊，建議做端口綁定操作。隨後對4號機1號機做端口綁定（做完這兩個筆記本沒電了，在給筆記本充電過程中對網絡進行觀察）。

3、從19：00-20：00計算機網絡使用正常沒有發生過斷線情況，同時對4號機進行病毒查殺，通過卡巴斯基查到兩個病毒，一個是木馬程序Trojan_，另一個是蠕蟲病毒。

三、對故障現象的解釋

S3XXX下計算機剛開機上網正常，一段時間後發生斷線情況，重啟或重新拔插網線後正常。

現象解釋：“ARP欺騙”類病毒在局域網中屢有發現，具體表現為，當局域網中一台計算機感染了這類ARP病毒或木馬後，會不定期的發送偽造的ARP響應數據報文和廣播報文。受感染的電腦發出的這種報文會欺騙所在網段的其他電腦，對其他電腦宣稱自己的`mac就是網關的mac，對實際的網關説其他電腦ip的mac就是自己的mac，這樣網關（交換機或路由器）無法學習到上網主機的mac，更新不了網關arp表，就無法轉發數據幀。電腦中毒後會向同網段內所有計算機發送ARP欺騙包，導致網絡內其他電腦因網關物理地址被更改而無法上網，被欺騙電腦的典型症狀就是剛開機能上網，幾分鐘後斷網，過一會又能上，或者重啟一遍電腦就可以上網，一會又不好了，如此重複不斷，影響正常使用。