由于工作原因，前段时间我为某药业公司进行一次网络故障分析，刚好保存了当时的数据包文件，所以整理出来和大家分享！个人感觉该集团公司在网络管理上不够力度，下面的员工做的事情还蛮多的哈！呵呵，我们开始正题吧。

    1.  故障描述

    通过该公司管理员提供的信息，得知该公司网络网速缓慢，且出现延迟的现象！由于网络比较大，所以排查比较困难。查看交换机运行状态良好，排除网络设备出现问题的可能性，这时我推断故障点可能出现在下面员工使用的主机上，可能是中病毒了。

    2.  网络环境

    根据该公司管理人员提供的信息，该公司网内在三层交换处划分了VLAN，最后通过路由器与Internet连接，网内大概有200台的电脑。我简单画了个拓扑图，如下图1。

3.  诊断分析

    由于主机数量比较大，每个手动查找肯定是麻烦的，于是通过使用网络分析软件来查找故障主机。经一些镜像设置，我将科来网络分析软件安装到笔记本，并接入到该公司的中心交换设备的镜像端口处抓包，23分钟过去了，停止捕获并开始分析。

    由于在抓包的时候，开了下小差，所以抓包的时间有点长！关键数据还是很多的！通过查看捕获的数据包，我发现有该公司的网络可能存下面下几个故障！

    3.1 故障1：感染蠕虫病毒

    1)  分析过程

    我首先查看诊断视图，发现在诊断视图中“TCP重复的连接尝试”很多，居然达到了31126次，下图2。

（图2  重复尝试连接数）

    图2中已经反映的很不正常了，为了找到更多的“证据”来证明，我转移视线到端点视图。按网络连接排序，发现10.8.24.11这台主机的网络连接数是名列榜首的哦（16540个）！如图3所示。

（图3  网络连接数）

这时我定位分析这台主机（10.8.24.11），查看会话视图中的TCP连接情况，发现全是10.8.24.11向目的主机的445端口发起的连接，由此猜测该主机可能感染蠕虫病毒，且该病毒正在试图感染其它主机。如图4。

（图4  TCP连接）

    然后在概要统计里，查看主机10.8.24.11的TCP数据包情况，如图5。

（图5  TCP数据包）

    图5中，在23分31秒的时间里，10.8.24.11主机共发起了29622个TCP同步数据包，而结束数据包和复位数据包分别是3253和1387个。结合上面对该主机连接的分析，基本确定主机（10.8.24.11）感染蠕虫病毒。

    2)  后记

    主机10.8.24.11感染蠕虫病毒，病毒自动通过网络与其它主机的TCP445端口建立连接，试图感染其它主机，这样严重耗费网络资源，造成网络整体性能下降，严重时可使网络大面积感染病毒，引发网络的主机全部瘫痪。将主机10.8.24.11与网络隔离，并对其进行病毒查杀，但查杀后再重新接入网络。3.2 故障2：扫描攻击

    1)  分析过程

    接着，我们重新回到节点浏览器的根端点，再次查看端点视图，这次以总流量排序，发现10.8.21.81在23分31秒的时间内收发了317.7

    11 MB的数据，总流量排名第一哦，要特别关注下了！如下图6。

（图6  总流量排序）

    在节点浏览器中定位10.8.21.81，查看该主机对应的连接信息。会话视图，如下图7所示。

（图7  TCP连接）仔细查看图6中，主机10.8.21.81与其它主机建立了大量的TCP连接，且目标地址和目标端口均不定，都是主机主动发起，而服务器端没有相应，由此偶暂时推断主机10.8.21.81可能在进行扫描。咱们再来看看TCP连接数据包和矩阵视图，就很清楚了！如图8和图9。

   （图8 TCP连接数据包）

   （图9  矩阵视图）

    很明显了啊，图8中的TCP同步数据包相对结束数据包的比例相差太大了，这是很不正常的！另外，图9中看出该主机建立了很多连接，，需要单独检查。

    2)  后记

    主机10.8.21.81进行扫描攻击，可能在对某个固定地址段的主机进行开放服务扫描的探测。

    严重耗费网络资源，造成网络整体性能下降，根据扫描的结果，可引发后续的多种攻击行为。

    对主机10.8.21.81进行定点分析，找出造成扫描的软件，如该软件非正常工作需要，停止它的运行并将其删除。3.3 故障3：使用BT和eMule（电骡）下载

    1)  分析过程

    使用下载软件也大量消耗网络带宽，导致网速变慢，比如BT，eMule等P2P软件。BT软件默认端口是6881-6889，而eMule软件默认端口为4662,4661,4242等。我在捕获的数据包中看见该集团公司内部很多主机都在使用BT和 eMule软件。咱们来看看下面的视图就知道了！图10和图11。

（图10  使用BT软件）

（图11 使用eMule软件）

    我认为公司内部这么多人使用下载软件，在很大程度上占用了网络带宽，影响了公司的网络速度！所以我也把它列入了故障行列！

    2)  后记

    使用BT和eMule类的下载软件，大量占用网络带宽，造成网络整体性能下降，可能引发网络时断时续甚至网络不能正常访问等故障。对这些主机进行定点检查，停止其BT和eMule（电骡）等下载软件的使用。个人认为还是加强管理力度，呵呵！

    4.  总结

    造成该药业公司网络速度慢的最主要原因是蠕虫病毒，嘿嘿，我还给他分析出了其他的“故障”，换种说法，其实就可以说是网络中存在的隐患吧，说不定哪天就爆发了呢，本人也在不断的学习中，可能网络中还有其他的网络问题没发现呢！

    另外，个人学习使用网络分析类软件有一段时间了，感觉它在处理网络故障和具体定位故障点，有独到之处！虽然说不能依赖它，但是它却是网络分析的必须的工具呢！
 

欢迎访问最专业的网吧论坛,无盘论坛,网吧经营,网咖管理,网吧专业论坛 https://bbs.txwb.com 关注天下网吧微信/下载天下网吧APP/天下网吧小程序，一起来超精彩