收藏
下载资源

杭州某中学断网解决办法

上传人:极*** 文档编号:205996 上传时间:2016-12-06 格式:PDF 页数:17 大小:2.42MB
返回 下载 相关 举报
杭州某中学断网解决办法_第1页
第1页 / 共17页
杭州某中学断网解决办法_第2页
第2页 / 共17页
杭州某中学断网解决办法_第3页
第3页 / 共17页
杭州某中学断网解决办法_第4页
第4页 / 共17页
杭州某中学断网解决办法_第5页
第5页 / 共17页
点击查看更多>>
资源描述

《杭州某中学断网解决办法》由会员分享,可在线阅读,更多相关《杭州某中学断网解决办法(17页珍藏版)》请在金锄头文库上搜索。

1、作者 1: 红盟过客 理论 E 3 69 1 3 69 2 9作者 2 B u bb ac h uc k 4 21 0 7 20 3 9时间: 2 00 7 年九月地点: 浙江杭州某中学软件: 科来技术交流版 6 . 5 s n i f f e r 4 . 8 V i s i o 2 00 3 Co r e l W 1 2 2 00 7解决 心得这个案例是我们在做杭州一个中学时自己动手解决的一个难题。因为断网时间不确定, 网 络拓扑不明确, 在 后来的抓包过程中, 我将 这个网络通过自己 了解的情况画出拓扑图, 给自 己分析提供一个明确的思路, 并且将 网络分成几个部分, 将 问 题一一细化,

2、 有 助于解决问题。解决这个 网络问题我们总共花半个月时间, 现 在问题完全解 决 。在这里, 我与 我的学生 B u bb ac h uc k 通过抓包分析出这个网络的问题, 最后给学校一 个比较完全的解快方案。在 解决问题的关健时候得到了科来官方技术工程师的大力支持与商 务的大务协助。 在 这里向他们一并表示感谢。 当 然在处现这一问题时, 还得 到其它的朋友的 支持与帮助,在这里表示感谢。学校现在机器约 5 0 0 台, 其中约有 2 5 0 台是老师用机, 其它的机器为学生用机。 一 般 情况下,只有老师机器上网。当学生在上机算机课时,才会开机上网。问题:在一个星期中会断网至少一到二次

3、,具体时间不能确定,原因不明确。自己了解到的情况:现在主要原因是这样,由于经常断网,电信做了一些设置。进线为电信光纤,接电信思科交换机上, 电 信在交换机上做了一些设置, 设 计了一个上限, 当 广播或是病毒达到一定 上限时, 电 信端口将自动关闭, 必需打电话给电信机房, 电 信才会给你将端口启用。 电信主 要目地的保守自己的其它的端口不受到攻击。 当 然这个推论是自己与电信的交谈中得知的, 电信没有明确说明。 为 什么说做了上限, 而不是一受到病毒攻击就断网, 现 由很简单。 当断 网后致电给电信,电信将端口启用,学校能上网。但是不会断网,就充分说明电信做了上限,而不是马上断网。写在最后:

4、 这 是一个非常完整的解决方案, 其 中有很多图是自己与朋友在分析时总结 的心得, 还 有写在最后的建议与方案, 都得到学校的认可。 由 于技术限制, 肯定方案中有不 足与错误之处, 希 望喜欢技术的朋友真诚指出, 以 供大家学习研究。 我 们在分析的时候主要 以科来与 科来有 200台的限制,所以有些结果将重点放在 换机镜像口在思科 4 00 6 上做,抓包机器装科来与 s n i f f e r 抓包与分析。已完成的实验手册 2 00 8 o s p f 命令与配置手册实验笔记 2 00 8 b 令与配置手册实验笔记 E 5 . 0 实验手册华为 3 60 0 交换机实验笔记 B 计与实现

5、笔记 J U E R S E N 防火墙基础实验杭州某中学断网解决办法网络拓扑如下2 00 7 年 9 月 1 0 日 1 7 : 1 5 所抓的包这是 S t at i s t i c s 看到的视图,可以看出:不到 9 秒钟抓到 1 67 0 9 个数据包,总 流量 1 55 4 9 2 92 b y t e s , 1 2 4M b / 但是要除以 2, 因为可能做的是双向的镜像 ( 包会抓 重复),那么要 6 2 s ,如此大 的带 宽利 用率!大部分都是 I P 数据包,看到 i p 广播包为 0,排除广播类问题了!从 P r o t o c a l Di s t 上看到的视图: 大

6、 部分都是 I P 协议 数据上面是从科来网络分析系统上看到的,可见 T 接成功率不足 5 0% ,而且出现大量的复位数据包!这是 H o s t T ab l e 上看到的视图:从该视图上看到看发送流量最大的几台主机, 9 秒钟时间发送 1 K 多数据包,肯定不是人为的了, 其实不用想, 发包量大的主机, 肯 定是有问题的, 可以都处理了, 看看究竟发送的 是什么数据。这是 1 0. 4 4 . 11 1 . 4 4 的 r i x 视图:看吧,虽然它的流量不是最大的,但是它的会话数是最多的,大部分都是 o t h e r s 了,还有少数的 h t t p 协议数据了, 不管是什么数据,都

7、可以确定这台主机有问题了, 9 s 时间里建 立了这么多会话,肯定是 _现在我们来分析下 1 0. 4 4 . 11 1 . 2 5 的数据吧,看看都是什么东东看它与其它主机会话的端口吧,貌似是在扫描啊,肯定有问题了 _同 样 问 题 的 还 有 : 1 0. 4 4 . 1 11 . 4 4 、 1 0 . 4 4 . 1 10 . 7 、 1 0 . 4 4 . 1 10 . 6 3 、 1 0 . 4 4 . 1 10 . 1 0 9 、1 0. 4 4 . 1 10 . 2 41 、 1 0 . 4 4 . 1 11 . 7 2 、 1 0 . 4 4 . 1 10 . 2 7。* L

8、 o c a l R o ut i n g 警告的意思是:产生本地路由环路,或者是由于路由扮演网关的角色,在应用层做协议转换产生的!这里是后者,估计是 产生的吧,老大应该是架在层三交换机上抓的包。 但是每 个会话一个端口, 那 这台机器跟一台外网主机建立这么多的会话, 就 肯定有问题了 _再看看 1 0. 4 4 . 11 1 . 7 2 的数据:同步数据包 不变,每个数据包发送间隔时间不足 1 明显攻击行为 _其实有些主机可以发 现同时有多种问题的,我们就重复说明了 。 其实有些主机可以发 现同时有多种问题的,我们就重复说明了 。 其实有些主机可以发 现同时有多种问题的,我们就重复说明了 。

9、其实有些主机可以发 现同时有多种问题的,我们就重复说明了 。下面看几个会话帧中的数据吧!看看 1 0. 4 4 . 11 0 . 1 0 9 这台主机吧,在不到 1 竟然发送了这么多的重置连接帧(没有数据流入的情况下,不知道是什么原因), 肯定是有问题的! _再看看 1 0. 4 4 . 11 1 . 1 4 3 这台:也是在不到 1 时间内发送了这么多的数据包, 再看它的 h t t p 包, 是无法识别的, 可 能是加密了,应该是病毒或者插件的症状(不大确定)! 同样问题的还有: 1 0. 4 4 . 1 10 . 1 73现在也许知道带宽利用率那么大的原因了(连续传送大数据包)。1 0

10、月 8 日抓包分析(持续时间: 2 2m)看 1 0. 4 4 . 11 0 . 2 4 4 的 r i x 图:这样的主机肯定要处理了,如果这期间没有下载活动,就肯定是中毒了!这份包如果上面那台主机正在下载,就根本没有什么意义了!1 0 月 1 0 日抓包 1 6 : 4 2 (持续时间 1h 4 3m)多台主机通 过 U 3 7 、 1 3 8 端口向外广 播 Ne t B I 据包,并且 还向 主 机 1 0. 4 4 . 11 0 . 3发送同样的 Ne t B I 据包,这两个端口是最容易被利用攻击的,可能是感染病毒或有恶意程序了! 同时 1 0. 4 4 . 11 0 . 3 这台

11、主机还向外发送大量的 I 据, 肯定是有问题的 ( 原因 无 法 确 定 )!检 查 发 送 Ne t B I 据包的机器,并处理病毒或恶意程序!主机 1 0. 4 4 . 11 1 . 2 5 发送大量的数据包,如果在下载的话,那这个包也没有什么其它的分析价 值 了 !2 00 7 年 1 0 月 1 1 日 1 0 : 4 5 所抓的包(持续时间: 1h 5 7m)从专家系统可以看到, 1 0. 4 4 . 1 11 . 2 5 4 这台机器与外网多台主机建立连接,并且与同一台 外网主机的 8 0 端口建立大量的连接,问题是肯定的(不知道是什么原因:病毒 o r 攻 击 ), 这台主机需要

12、处理了! 同 样问题的主机还有: 1 0. 4 4 . 1 11 . 2 48 、 1 0 . 4 4 . 1 11 . 2 40 、 1 0 . 4 4 . 1 11 . 23 4 、1 0. 4 4 . 1 11 . 1 83 、 1 0 . 4 4 . 1 11 . 1 2 、 1 0 . 4 4 . 1 10 . 8 5、 1 0. 4 4 . 1 11 . 2 48(攻击内网主机 1 0. 4 4 . 11 0 . 5 ) 、1 0. 4 4 . 1 10 . 5 7 、 1 0 . 4 4 . 1 10 . 4 7 、 1 0. 4 4 . 1 10 . 25 2 、 1 0. 4

13、 4 . 1 10 . 2 3 5 、 1 0. 4 4 . 1 10 . 2 1 、1 0. 4 4 . 1 10 . 2 05 、 1 0 . 4 4 . 1 11 . 4 5 、 1 0 . 4 4 . 1 11 . 5 _(后得知这些主机访问的大多是是没有域名的外网服务器,原因不明)有问题的外 网 有问题的外 网 有问题的外 网有问题的外 网i pi p: 1 22 . 7 0 . 1 4 1 . 18 、 6 1 . 1 5 2 . 2 4 6. 1 6 36 1 . 1 5 2 . 2 4 6. 1 6 3、 、 、6 1 . 1 5 2 . 2 4 6. 1 6 26 1 . 1

14、 5 2 . 2 4 6. 1 6 2、 、 、2 2 2 . 7 3 . 2 3 8. 1 8 52 2 2 . 7 3 . 2 3 8. 1 8 5、 、 、6 1 . 1 6 4 . 6 2 . 4 76 1 . 1 6 4 . 6 2 . 4 7、 、 、1 2 1 . 1 4 . 0 . 321 2 1 . 1 4 . 0 . 32、 、 、5 9 . 5 3 . 8 6 . 55 9 . 5 3 . 8 6 . 5、 、 、2 2 0 . 1 8 1 . 2 6. 1 7 02 2 0 . 1 8 1 . 2 6. 1 7 0、 、 、2 1 8 . 6 6 . 1 11 . 1

15、52 1 8 . 6 6 . 1 11 . 1 5、 、 、2 1 9 . 1 2 9 . 6 42 1 9 . 1 2 9 . 6 4. 1 1 0. 1 1 0、 、 、6 1 . 1 7 2 . 2 0 1. 2 56 1 . 1 7 2 . 2 0 1. 2 5、 、 、6 1 . 1 7 2 . 2 0 7. 1 16 1 . 1 7 2 . 2 0 7. 1 1、 、 、6 1 . 1 7 2 . 2 0 1. 3 26 1 . 1 7 2 . 2 0 1. 3 2、 、 、5 8 . 2 2 1 . 2 4 9. 2 3 7 _5 8 . 2 2 1 . 2 4 9. 2 3 7 _注: 注: 注:注:U 8 00 0 端口是 口, 1 5 00 0 是 B T 或迅雷的端口, 但有时会出现这两个端 口的攻击!U 题: 1 0. 4 4 . 11 0 . 1 00 、 1 0 . 4 4 . 1 10 . 2 43 、 1 0 . 4 4 . 1 11 . 5 (使用以上两个端口,对流量造成严重影响,这里估计是下载,如果没人下载就是攻击了,看情况)通过 U 9 9 1 9 端口 通 信 的 主 机 : 1 0 . 4 4 .

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 资格认证/考试 > 网络工程师认证

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号