某網路故障分析報告

1.故障描述及部署位置

周五上午去使用者處了解故障現象，並詢問網路基本情況，了解情況如下：

拓撲圖如上圖，使用者網路出口頻寬為20m，兩台交換機下聯30多個使用者主機與服

務器。從本周一開始出現網內使用者訪問網際網路時出現時斷時續的狀態，開啟頁

面速度非常緩慢，而且經常存在不能開啟網頁的情況。

於交換機1和交換機2分別配置映象埠，部署科來網路分析系統，抓取

上聯介面的流量進行分析。

2.故障分析

交換機1：在交換機1抓取了二十分鐘，並未發現異常情況與流量突發，所以

懷疑本次問題可能是由於交換機2下聯主機存在問題所致。

交換機2：抓取10:55:28-10:55:38的資料報，短短十秒鐘我們就發現了網路

中存在的問題，如下圖：

不難看出，短短十秒鐘的總流量達到了272mb，基本全部是512-1023

位元組的資料報，並且tcp同步包達到了50餘萬個，沒有收到任何的tcp同步

確認包，存在明顯的異常情況。

檢視tcp會話，發現所有的tcp會話行為一致，全部是111.xx.xx.xx向183.xx.xx.xx的80埠傳送tcp資料報。

資料報的同步位（syn）置1，syn資料報是tcp/ip建立連線時使用的握手請求資料報，不應存在任何應用層資料，但是在上圖中看到該資料報中還有節的http資料，並且資料內容全部為0，該資料報為明顯的偽造資料報。

因為偽造資料報為網際網路位址，所以會通過網際網路出口向外傳送。由於本網路網際網路出口為20mbps，而偽造資料報卻達到了261mbps，明顯超過了最大處理能力，此時內網主機在訪問網際網路時就會出現連線十分緩慢，甚至不能訪問網際網路的情況。

3.故障定位

如上圖，通過檢視mac位址我們得知傳送大量資料報的mac位址為xx:xx:xx:

xx:11:57，掌握了發起攻擊的mac位址後，通過檢視交換機mac位址表，找到相應埠，如下圖：

該mac位址對應的交換機2埠為g1/0/18口，通過斷掉該介面的方式來排查，斷掉該埠後網路恢復正常，能夠正常流暢的瀏覽網頁。

4.總結

通過排查發現交換機2的g1/0/18介面傳送大量網際網路位址偽造資料報，通過大量傳送此類資料報擁塞網路的網際網路出口，達到dos攻擊作用。通過排查發現g1/0/18口為郵件閘道器連線埠，建議使用者聯絡郵件閘道器裝置廠商，對裝置進行問題排查。