基于數(shù)據(jù)包分析的校園網(wǎng)絡(luò)故障檢測(cè)研究

◆孟治強(qiáng)

（江西財(cái)經(jīng)職業(yè)學(xué)院 江西 332000）

基于數(shù)據(jù)包分析的校園網(wǎng)絡(luò)故障檢測(cè)研究

◆孟治強(qiáng)

（江西財(cái)經(jīng)職業(yè)學(xué)院 江西 332000）

互聯(lián)網(wǎng)的發(fā)展讓高校網(wǎng)絡(luò)變得越來(lái)越復(fù)雜，隨之而來(lái)的就是高校網(wǎng)絡(luò)管理的難度不斷增加，尤其是校園網(wǎng)絡(luò)故障檢測(cè)更加的困難。本文從數(shù)據(jù)包分析入手，討論校園網(wǎng)絡(luò)故障檢測(cè)的方法，并以ARP病毒導(dǎo)致的網(wǎng)絡(luò)中斷為例進(jìn)行了案例分析。

數(shù)據(jù)包分析；校園網(wǎng)絡(luò)；故障檢測(cè)分析；ARP

0 引言

在日常的校園網(wǎng)絡(luò)維護(hù)中，一般情況下我們判斷網(wǎng)絡(luò)故障只能依靠長(zhǎng)期的經(jīng)驗(yàn)觀察判斷，或是用備用設(shè)備進(jìn)行替代，但對(duì)于某些黑客攻擊或網(wǎng)絡(luò)設(shè)備的軟件故障缺乏有效的判別手段。本文討論從數(shù)據(jù)包分析的角度進(jìn)行網(wǎng)絡(luò)故障檢測(cè)的方法及其在校園網(wǎng)絡(luò)故障排除中的應(yīng)用，并通過(guò)實(shí)際案例說(shuō)明基于數(shù)據(jù)包分析的校園網(wǎng)絡(luò)故障檢測(cè)一般流程。

1 檢測(cè)步驟

1.1 信息收集與初步判斷

管理員需要對(duì)網(wǎng)絡(luò)的總體信息有充分的了解，收集如網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、VLAN信息、IP地址分布等基本信息，為故障判斷做準(zhǔn)備。故障發(fā)生時(shí)應(yīng)結(jié)合掌握的信息初步判斷故障原因和故障點(diǎn)，并逐一排除，縮小范圍，從而找到故障的大致原因，如發(fā)現(xiàn)網(wǎng)絡(luò)故障與硬件無(wú)關(guān)則可以使用數(shù)據(jù)包分析方法。

1.2 數(shù)據(jù)包采集

用于網(wǎng)絡(luò)故障檢測(cè)的數(shù)據(jù)包須來(lái)自于全網(wǎng)方能反映真實(shí)的網(wǎng)絡(luò)狀況。因此采集數(shù)據(jù)包的軟件應(yīng)部署在網(wǎng)絡(luò)總出口上，一般交換網(wǎng)中部署在核心交換機(jī)的鏡像端口上，核心交換機(jī)不具備端口鏡像功能的可以在交換機(jī)上串聯(lián)一個(gè)集線器進(jìn)行抓包。

正常數(shù)據(jù)通信時(shí)網(wǎng)絡(luò)接口卡只接收目標(biāo)地址自身MAC地址的數(shù)據(jù)包或廣播包，而sniffer類(lèi)工具可以讓網(wǎng)卡工作在混雜模式（promiscuous模式），從而接收所有經(jīng)過(guò)該網(wǎng)卡的數(shù)據(jù)包，并交由軟件分析處理。

本文案例分析采用的軟件是科來(lái)網(wǎng)絡(luò)分析系統(tǒng)技術(shù)交流版9.0抓包，軟件安裝在筆記本上并連接cisco 6509的鏡像端口，以保證能夠獲取到全網(wǎng)數(shù)據(jù)包。網(wǎng)絡(luò)故障發(fā)生時(shí)開(kāi)啟軟件抓包，并結(jié)果保存成數(shù)據(jù)文件供后續(xù)分析。

1.3 數(shù)據(jù)包分析

數(shù)據(jù)包分析需要結(jié)合工作經(jīng)驗(yàn)，對(duì)捕獲的數(shù)據(jù)包進(jìn)行專(zhuān)業(yè)的分析，結(jié)合傳輸協(xié)議等相關(guān)知識(shí)，對(duì)故障做出具體判斷，找出故障原因進(jìn)而調(diào)整網(wǎng)絡(luò)。如分析捕獲的數(shù)據(jù)包中的概要信息，發(fā)現(xiàn)網(wǎng)絡(luò)中的數(shù)據(jù)包重發(fā)率較高，則可以判斷出該網(wǎng)絡(luò)出現(xiàn)了網(wǎng)絡(luò)擁塞，可能是交換機(jī)的帶寬達(dá)到了瓶頸，確認(rèn)故障問(wèn)題后再做相應(yīng)的調(diào)整。基于數(shù)據(jù)包分析的校園網(wǎng)絡(luò)故障檢測(cè)分析的一般流程如圖1所示。

圖1 基于數(shù)據(jù)包分析的一般流程

2 案例分析

下面本文將以某高校爆發(fā)的一次ARP病毒攻擊所造成的網(wǎng)絡(luò)中斷為例對(duì)基于數(shù)據(jù)包分析的校園網(wǎng)絡(luò)故障檢測(cè)流程進(jìn)行詳細(xì)闡述。

2.1 網(wǎng)絡(luò)故障描述

網(wǎng)絡(luò)變得異常緩慢，部分VLAN中的網(wǎng)絡(luò)用戶(hù)網(wǎng)絡(luò)中斷或時(shí)斷時(shí)續(xù)，從核心交換機(jī)上ping該VLAN中的用戶(hù)發(fā)現(xiàn)丟包嚴(yán)重，且時(shí)延較長(zhǎng)初步判斷造成此種現(xiàn)象可能為有三種情況：①人為病毒攻擊；②環(huán)路；③交換機(jī)故障。

2.2 網(wǎng)絡(luò)故障檢測(cè)過(guò)程

首先我們需要獲取網(wǎng)絡(luò)的基本情況。Telnet到核心交換機(jī)Cisco6509上，查看核心交換與外網(wǎng)連接正常使用show processes cpu命令查看cpu使用率，發(fā)現(xiàn)使用率過(guò)高，重啟6509后狀況沒(méi)有好轉(zhuǎn)；然后查看接入層和匯聚層交換機(jī)均無(wú)硬件問(wèn)題，排除硬件故障；再詢(xún)問(wèn)其他管理員近期網(wǎng)絡(luò)拓?fù)錄](méi)有改變，因此也排除環(huán)路可能，最后決定抓包分析。

在核心交換機(jī)6509上配置端口鏡像，將安裝有科來(lái)網(wǎng)絡(luò)分析系統(tǒng)的筆記本連接在鏡像端口上并進(jìn)行抓包，學(xué)校此次發(fā)生故障的區(qū)域是辦公區(qū)，IP地址是10.0.16.0/20，獲取數(shù)據(jù)后著重分析該網(wǎng)段的主機(jī)下是否異常。

2.3 網(wǎng)絡(luò)故障分析

打開(kāi)軟件開(kāi)始抓包，約1分鐘左右停止捕獲，分析捕獲的數(shù)據(jù)包。點(diǎn)擊“診斷”，大致觀察軟件提供的診斷信息。診斷視圖中提示數(shù)據(jù)鏈路層存在ARP廣播風(fēng)暴，初步斷定可能網(wǎng)絡(luò)中存在ARP攻擊。

點(diǎn)擊“節(jié)點(diǎn)瀏覽器”，切換至“本地網(wǎng)段”，看到物理地址為00：00：E8：50：BC：98的主機(jī)下面綁定了36個(gè)IP地址，此種現(xiàn)象一般只會(huì)發(fā)生在網(wǎng)關(guān)、代理服務(wù)器上，而局域網(wǎng)的網(wǎng)關(guān)物理地址為00：11：BC：02：B0：00，且網(wǎng)內(nèi)沒(méi)有代理服務(wù)器，因此我們可以判定該物理地址的主機(jī)可能存在攻擊行為。

點(diǎn)擊00：00：E8：50：BC：98主機(jī)節(jié)點(diǎn)，查看“協(xié)議視圖”，發(fā)現(xiàn)該節(jié)點(diǎn)主機(jī)通訊數(shù)據(jù)包中包含的協(xié)議中ARP協(xié)議所占比例較高，單擊該協(xié)議具體查看數(shù)據(jù)包，從“概要”中可以看到該主機(jī)向局域網(wǎng)中其他用戶(hù)發(fā)送欺騙數(shù)據(jù)包，可以斷定該主機(jī)進(jìn)行ARP欺騙。

2.4 故障處理

登錄核心交換機(jī)，查找該主機(jī)所在的VLAN，再通過(guò)查詢(xún)匯聚層交換機(jī)和接入層交換機(jī)的相關(guān)信息，找到該主機(jī)所在端口，拔掉網(wǎng)線，網(wǎng)絡(luò)迅速恢復(fù)正常。

找到問(wèn)題主機(jī)，查看操作系統(tǒng)，并未在主機(jī)上發(fā)現(xiàn)主動(dòng)攻擊軟件，而其殺毒軟件已經(jīng)無(wú)法正常工作，因此斷定其是因?yàn)橹辛巳湎x(chóng)病毒才發(fā)動(dòng)的攻擊而并非人為攻擊。重新安裝操作系統(tǒng)后接入網(wǎng)絡(luò)，主機(jī)和網(wǎng)絡(luò)均運(yùn)轉(zhuǎn)正常。

另外，通過(guò)軟件我們還發(fā)現(xiàn)了4個(gè)MAC地址的數(shù)據(jù)量較大，通過(guò)矩陣圖發(fā)現(xiàn)連接非常多可能存在異常，經(jīng)過(guò)排查其中一個(gè)為網(wǎng)關(guān)地址，另外3個(gè)地址在抓包過(guò)程中正在使用p2p軟件下載資源，計(jì)算機(jī)本身無(wú)異常。

3 小結(jié)

校園網(wǎng)絡(luò)用戶(hù)較多、網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，網(wǎng)絡(luò)故障種類(lèi)繁多難于判斷，尤其是部分網(wǎng)絡(luò)故障如IP地址欺騙、ARP病毒攻擊等，故障主機(jī)本身流量不大，單純從交換機(jī)上查看相關(guān)信息，很難做出判斷找出故障點(diǎn)，因此更加需要借助專(zhuān)業(yè)數(shù)據(jù)包分析工具，捕獲數(shù)據(jù)包后結(jié)合協(xié)議分析進(jìn)行排查。

本例中由于采用的抓包軟件是技術(shù)交流版，受功能限制捕獲數(shù)據(jù)包的時(shí)間較短，所以網(wǎng)絡(luò)中極可能還存在其他未被檢測(cè)出的故障點(diǎn)或問(wèn)題主機(jī)，如匯聚交換與核心交換的背板帶寬問(wèn)題、其他被感染的病毒主機(jī)當(dāng)前并未開(kāi)機(jī)，無(wú)法查找等問(wèn)題。因此對(duì)于校園網(wǎng)絡(luò)的運(yùn)行，需要網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)進(jìn)行定期的監(jiān)測(cè)，并進(jìn)行分析，總結(jié)報(bào)告并進(jìn)行實(shí)時(shí)調(diào)整，才能最大程度保障校園網(wǎng)絡(luò)的正常運(yùn)行，排除潛在的網(wǎng)絡(luò)故障與安全威脅。

[1]黃高峰．基于數(shù)據(jù)包分析的網(wǎng)絡(luò)故障診斷研究[J]．計(jì)算機(jī)應(yīng)用與軟件，2008．

[2]羅曉斌．基于數(shù)據(jù)包分析的安卓應(yīng)用軟件網(wǎng)絡(luò)故障診斷介紹[J]．?dāng)?shù)字技術(shù)與應(yīng)用，2015．

[3]黃培．基于數(shù)據(jù)包分析的網(wǎng)絡(luò)故障分析與研究[J]．網(wǎng)絡(luò)通訊與安全，2006．