2.常见故障以及排查思路

常见故障以及排查思路 部门/姓名文档类型: 文档密级: 主送对象: 抄送对象: 文档编号: 审 核 人:修订记录修订日期修订版本修订描述作者xxxx-xx-xxV1.0初稿完成xxx2学习目标了解网吧常见故障掌握排障思路3课程内容第一章 网吧常见故障第二章 排查思路4第一章 网吧常见故障网吧的网络是影响网吧发 展的命脉，没有一个好的 网络，网吧就不会有长久 的客户群，但网吧网络的 复杂性也使得网络经常出 现各种故障，网线的状况 、网线的接头、交换机、 集线器、网卡，以及驱动 程序等等都是影响网吧网 络的元素5又断网了 ！第一章 网吧常见故障6网吧常见故障 (一) ARP攻击 现象：突发性瞬间断线，快速连上，期间上网速度越来越慢，一段时间又瞬间断 线。

内网诊断： 1、断线时（arp攻击木马程序运行时）在内网的PC上执行arp –a命令，看见网关 地址的mac地址信息不是路由器的真实mac地址； 2、内网如果安装sniffer软件的话，可以看到arp攻击木马程序运行时发出海量的 arp查询信息 原因：arp攻击木马程序运行时，将自己伪装成路由器，所有内网用户上网从由 路由器上网转为从中毒电脑上网，切换过程中用户会断一次线过程用户感觉上 网非常慢当arp攻击木马程序停止运行时，所有内网用户上网又从由中毒电脑 上网转为从路由器上网，切换过程中用户会再断一次线第一章 网吧常见故障u主机型ARP欺骗³欺骗者主机冒充网关设备对其他主机进行欺骗7ARP欺骗攻击分类-主机型7 7网关欺骗者嗨，我是网关PC 1第一章 网吧常见故障u网关型ARP欺骗³欺骗者主机冒充其他主机对网关设备进行欺骗8ARP欺骗攻击分类-网关型8 8网关欺骗者嗨，我是PC1PC 1第一章 网吧常见故障u为什么产生ARP欺骗攻击？³表象：网络通讯中断³真实目的：截获网络通讯数据99 9ARP欺骗攻击目的PC1网关主机型网关型欺骗者第一章 网吧常见故障u屡禁不止的ARP欺骗³ARP欺骗的目的是截获数据，例如银行卡、游戏帐 户等，巨大的经济利益驱动了ARP欺骗的发展³ARP欺骗实现原理简单，变种极多，通过病毒网页 或木马程序即可传播，杀毒软件的更新不能及时跟 上病毒的变种³ARP欺骗是由于协议缺陷造成的，业界鲜有良好的 解决方案 101010ARP欺骗攻击缘何泛滥第一章 网吧常见故障111111判断ARP欺骗攻击-主机u 怎样判断是否受到了ARP欺骗攻击？›网络时断时续或网速特别慢›在命令行提示符下执行“arp –d”命令就能好上一会›在命令行提示符下执行“arp –a”命令查看网 关对应的MAC地址发生了改变第一章 网吧常见故障网关设备怎样判断是否受到了ARP欺骗攻 击？³ARP表中同一个MAC对应许多IP地址121212判断ARP欺骗攻击-网关设备第一章 网吧常见故障131313解决办法： 1、将感染病毒的PC从内网断开，查杀病毒。

2、在PC和路由器上双向绑定对方的IP和MAC地址第一章 网吧常见故障u手工设置静态ARP表项³静态ARP优先级高于动态ARP表项³分别在网关设备与用户主机上配置静态ARP表 项³工作维护量大，网关设备、用户都需要进行操 作141414常见ARP欺骗“应付”手段-双向绑定可有效解决 ARP欺骗第一章 网吧常见故障ARP防火墙³软件定期向网关发送Gratuitous ARP，以通告自己 正确的ARP信息³发送频率过高严重占用网络带宽³发送频率过低则达不到防范目的³惹祸的ARP防火墙®对于异常多arp请求，请禁用xx防火墙的arp攻击防御功 能®当打开xx防火墙的arp防护功能时,防火墙会以每秒1000 个arp包的向外广播,询问同一个地址®装xx防火墙的主机在发现网上有ARP欺骗的时候会发送 大量广播包，致使正常网络出现中断151515常见ARP欺骗“应付”手段-ARP防火墙不能解决 ARP欺骗第一章 网吧常见故障161616网吧常见故障（二）游戏卡现象：魔兽或者某一个游戏卡 内网诊断： 1、单线路固定限速时，首先检查是否有ACL阻断了相应的端口和流量,其 次查看流量是否被占满,如果条件允许，不经过路由器单机测试游戏； 2 、单线路游戏优先时,在1的基础查看特征库是否是最新版本，确保是最 新的特征库，查看流量是否被识别成P2P流量； 3、双线路固定限速时，在单线路排查的基础上，查看路由是否走错，网 通的流量是否走到了电信. 4 、双线路游戏优先时,按123的思路来排查. 原因：ACL做了限制,没有更新的特征库,流量识别错误,路由走错 解决办法： 取消相应的端口阻断,升级特征库，添加游戏端口号,修改路由第一章 网吧常见故障171717检查ACL 是否有阻 断查看流量 是否占满单线固定取消阻断单机测试,抓 包YNYN限速调整第一章 网吧常见故障181818查看流量是否占满：第一章 网吧常见故障191919术语解释：Inbound: 真实的上传速度 Outbound: 真实的下载速度 Receive_IN:需求的上传速度 Receive_OUT:需求的下载速度第一章 网吧常见故障202020单线游戏检查ACL 是否有阻 断取消阻断特征库是 否最新查看流量是 否识别成P2PYNNY升级特征库第一章 网吧常见故障212121特征库的作用： P2P阻断及游戏优先功能都需要通过特征库文件来识别的。

如何检查特征库是否是最新： 高级选项—系统：第一章 网吧常见故障222222怎么查看内网应用：第一章 网吧常见故障232323怎么查看应用是否被识别成了P2P：第一章 网吧常见故障242424怎么查看应用是否被识别成了P2P：Router#sh flow all flow count: 200000 pro inside ip port outside ip port flow_app flow_group flow_class UDP 10.10.11.71 800 30.32.241.230 6000 28 17 3 UDP 10.10.13.119 800 30.32.240.46 6000 28 17 3 根据显示的信息，可以查看每条流的分类以上字段说明如下： pro：流的协议类型 inside ip：内网pc ip port：内网端口 outside ip：外网目的ip port：外网目的端口 flow_app：流的具体应用编号 flow_group：流的应用分组。

flow_class：流的应用分类第一章 网吧常见故障252525解决办法： 添加游戏端口号： 带宽状态—游戏优先第一章 网吧常见故障262626双线固定检查ACL 是否有阻 断取消阻断查看带宽 是否被占 满调整限速YNNY查看路由是 否走错第一章 网吧常见故障272727如何查看路由选路错误： 通过telnet 或者 配置线 的方式登录到路由器中通过show ip nat translations src- ip 进行验证查看图中蓝色框体中表示您登陆该网站使用的是哪条线路（哪个公网IP地址 ），即您电信或网通的IP地址 图中红色框体中表示该网站的ip地址，冒号后面为登录该网站使用的端 口号 如果出现了选路错误，即电信的网站从网通线路出去或网通的网站从电 信线路出去，这时就需要手工添加静态路由来控制路由选路问题 命令行添加方式：ip route 59.151.24.100 255.255.255.255 192.168.33.1 --指向电信或网通网关第一章 网吧常见故障2828282 确认该IP地址是属于电信还是网通的您可以登陆查询第一章 网吧常见故障292929双线游戏检查ACL 是否有阻 断取消阻断特征库是 否最新查看路由是 否走错YNNY升级特征库第一章 网吧常见故障303030双线游戏优先时： 参见前三步排查思路综合排查.第一章 网吧常见故障313131网吧常见故障（三）端口映射不成功 现象： 端口映射配置后，外网也无法正常访问 内网诊断： 1 、内网映射的服务器是否可以上网 2 、内网主机访问服务器，是否能访问 3 、尝试映射其他端口，看是否能映射成功 4 、查看路由,如果是双线，排查是否是来回路径不一致造成 5 、抓包 原因： 1 、网络不通 2 、服务器端口没打开 3 、端口被屏蔽 4 、ACL阻断 5 、服务器自身问题第一章 网吧常见故障323232解决办法： 1、确保网络畅通 2、确保配置无误 3、联系运营商确保端口不被屏蔽 4、确保服务器本身无问题第一章 网吧常见故障333333网吧常见故障（四） 外网攻击 现象：内网用户断线 内网诊断： 1、ping路由器LAN口IP地址丢包，ping外网网关地址时丢包。

2、ping路由器LAN口IP地址不丢包，ping外网网关地址不丢包， ping公网DNS 地址时丢包 原因：运营商接入设备有问题（modem、光收发器）、接入线路质量问题、运营 商Internet总出口故障，遭受外界恶意攻击. 解决办法： 联系运营商解决,一般推荐在物理层没问题的情况下更换IP.第一章 网吧常见故障343434信息收集： show cpu show int show log show run第一章 网吧常见故障353535网吧常见故障（五）cpu高 现象： cpu经常达到99%, 造成内网卡甚至断网 内网诊断： 1、ping路由器LAN口IP地址丢包，ping外网网关地址时丢包 2、无法正常登陆路由器. 原因： 1、内外网攻击 2、路由器性能受限 3、内网有恶意上传下载的流量 解决办法： 1、尝试登陆路由器，或者尝试拔掉外网线，或内网线登陆 2、排查内网，拒绝中病毒的主机接入网络 3、对客户机进行限速 4、若是外网攻击,更换IP地址第一章 网吧常见故障363636信息收集： sh log:第一章 网吧常见故障37查看流量：若有某台PC上行/下行流量与实际需要的上行/下行差别很大时（例， 192.168.1.130的流量有异常情况），可以查看下这台PC的NAT转换 情况，查看方式： NBR1200#show ip nat tr sr 192.168.1.130 第一章 网吧常见故障38查看接口信息：第一章 网吧常见故障39注意对应关系： 内网口的input对应外网口的output，外网口的input对应内网口的output,一 般情况这两个值相差很小，如果出现成倍的差别,很可能内网攻击造成，需要 检查网络环境.第一章 网吧常见故障40PC上收集以下信息： 在命令提示符下输入： C:\Documents and Settings\ss〉ping 192.168.1.1 //ping 内网网关地址 C:\Documents and Settings\ss〉ping 222.22.12.1 //ping 外网网关地址 C:\Documents and Settings\ss〉ping 222.22.12.65 //ping 外网接口(wan口) 地址 C:\Documents and Settings\ss〉arp -a第一章 网吧常见故障41网吧常见故障（六）路由器主程序丢失 现象：路由器不停重启 内网诊断： 内网无法PING通路由器管。