基于數據包分析的校園網絡故障檢測研究

◆孟治強

（江西財經職業學院 江西 332000）

基于數據包分析的校園網絡故障檢測研究

◆孟治強

（江西財經職業學院 江西 332000）

互聯網的發展讓高校網絡變得越來越復雜，隨之而來的就是高校網絡管理的難度不斷增加，尤其是校園網絡故障檢測更加的困難。本文從數據包分析入手，討論校園網絡故障檢測的方法，并以ARP病毒導致的網絡中斷為例進行了案例分析。

數據包分析；校園網絡；故障檢測分析；ARP

0 引言

在日常的校園網絡維護中，一般情況下我們判斷網絡故障只能依靠長期的經驗觀察判斷，或是用備用設備進行替代，但對于某些黑客攻擊或網絡設備的軟件故障缺乏有效的判別手段。本文討論從數據包分析的角度進行網絡故障檢測的方法及其在校園網絡故障排除中的應用，并通過實際案例說明基于數據包分析的校園網絡故障檢測一般流程。

1 檢測步驟

1.1 信息收集與初步判斷

管理員需要對網絡的總體信息有充分的了解，收集如網絡拓撲結構、VLAN信息、IP地址分布等基本信息，為故障判斷做準備。故障發生時應結合掌握的信息初步判斷故障原因和故障點，并逐一排除，縮小范圍，從而找到故障的大致原因，如發現網絡故障與硬件無關則可以使用數據包分析方法。

1.2 數據包采集

用于網絡故障檢測的數據包須來自于全網方能反映真實的網絡狀況。因此采集數據包的軟件應部署在網絡總出口上，一般交換網中部署在核心交換機的鏡像端口上，核心交換機不具備端口鏡像功能的可以在交換機上串聯一個集線器進行抓包。

正常數據通信時網絡接口卡只接收目標地址自身MAC地址的數據包或廣播包，而sniffer類工具可以讓網卡工作在混雜模式（promiscuous模式），從而接收所有經過該網卡的數據包，并交由軟件分析處理。

本文案例分析采用的軟件是科來網絡分析系統技術交流版9.0抓包，軟件安裝在筆記本上并連接cisco 6509的鏡像端口，以保證能夠獲取到全網數據包。網絡故障發生時開啟軟件抓包，并結果保存成數據文件供后續分析。

1.3 數據包分析

數據包分析需要結合工作經驗，對捕獲的數據包進行專業的分析，結合傳輸協議等相關知識，對故障做出具體判斷，找出故障原因進而調整網絡。如分析捕獲的數據包中的概要信息，發現網絡中的數據包重發率較高，則可以判斷出該網絡出現了網絡擁塞，可能是交換機的帶寬達到了瓶頸，確認故障問題后再做相應的調整?；跀祿治龅男@網絡故障檢測分析的一般流程如圖1所示。

圖1 基于數據包分析的一般流程

2 案例分析

下面本文將以某高校爆發的一次ARP病毒攻擊所造成的網絡中斷為例對基于數據包分析的校園網絡故障檢測流程進行詳細闡述。

2.1 網絡故障描述

網絡變得異常緩慢，部分VLAN中的網絡用戶網絡中斷或時斷時續，從核心交換機上ping該VLAN中的用戶發現丟包嚴重，且時延較長初步判斷造成此種現象可能為有三種情況：①人為病毒攻擊；②環路；③交換機故障。

2.2 網絡故障檢測過程

首先我們需要獲取網絡的基本情況。Telnet到核心交換機Cisco6509上，查看核心交換與外網連接正常使用show processes cpu命令查看cpu使用率，發現使用率過高，重啟6509后狀況沒有好轉；然后查看接入層和匯聚層交換機均無硬件問題，排除硬件故障；再詢問其他管理員近期網絡拓撲沒有改變，因此也排除環路可能，最后決定抓包分析。

在核心交換機6509上配置端口鏡像，將安裝有科來網絡分析系統的筆記本連接在鏡像端口上并進行抓包，學校此次發生故障的區域是辦公區，IP地址是10.0.16.0/20，獲取數據后著重分析該網段的主機下是否異常。

2.3 網絡故障分析

打開軟件開始抓包，約1分鐘左右停止捕獲，分析捕獲的數據包。點擊“診斷”，大致觀察軟件提供的診斷信息。診斷視圖中提示數據鏈路層存在ARP廣播風暴，初步斷定可能網絡中存在ARP攻擊。

點擊“節點瀏覽器”，切換至“本地網段”，看到物理地址為00：00：E8：50：BC：98的主機下面綁定了36個IP地址，此種現象一般只會發生在網關、代理服務器上，而局域網的網關物理地址為00：11：BC：02：B0：00，且網內沒有代理服務器，因此我們可以判定該物理地址的主機可能存在攻擊行為。

點擊00：00：E8：50：BC：98主機節點，查看“協議視圖”，發現該節點主機通訊數據包中包含的協議中ARP協議所占比例較高，單擊該協議具體查看數據包，從“概要”中可以看到該主機向局域網中其他用戶發送欺騙數據包，可以斷定該主機進行ARP欺騙。

2.4 故障處理

登錄核心交換機，查找該主機所在的VLAN，再通過查詢匯聚層交換機和接入層交換機的相關信息，找到該主機所在端口，拔掉網線，網絡迅速恢復正常。

找到問題主機，查看操作系統，并未在主機上發現主動攻擊軟件，而其殺毒軟件已經無法正常工作，因此斷定其是因為中了蠕蟲病毒才發動的攻擊而并非人為攻擊。重新安裝操作系統后接入網絡，主機和網絡均運轉正常。

另外，通過軟件我們還發現了4個MAC地址的數據量較大，通過矩陣圖發現連接非常多可能存在異常，經過排查其中一個為網關地址，另外3個地址在抓包過程中正在使用p2p軟件下載資源，計算機本身無異常。

3 小結

校園網絡用戶較多、網絡結構復雜，網絡故障種類繁多難于判斷，尤其是部分網絡故障如IP地址欺騙、ARP病毒攻擊等，故障主機本身流量不大，單純從交換機上查看相關信息，很難做出判斷找出故障點，因此更加需要借助專業數據包分析工具，捕獲數據包后結合協議分析進行排查。

本例中由于采用的抓包軟件是技術交流版，受功能限制捕獲數據包的時間較短，所以網絡中極可能還存在其他未被檢測出的故障點或問題主機，如匯聚交換與核心交換的背板帶寬問題、其他被感染的病毒主機當前并未開機，無法查找等問題。因此對于校園網絡的運行，需要網絡管理員對網絡進行定期的監測，并進行分析，總結報告并進行實時調整，才能最大程度保障校園網絡的正常運行，排除潛在的網絡故障與安全威脅。

[1]黃高峰．基于數據包分析的網絡故障診斷研究[J]．計算機應用與軟件，2008．

[2]羅曉斌．基于數據包分析的安卓應用軟件網絡故障診斷介紹[J]．數字技術與應用，2015．

[3]黃培．基于數據包分析的網絡故障分析與研究[J]．網絡通訊與安全，2006．