网络诊断工具—利用网络通信分析系统诊断网络故障

网络诊断工具—利用网络通信分析系统

诊断网络故障

    前面我给你们讲到一些诊断网络故障的命令，显然有时候命令来的不够直观或者说是命令用的不够娴熟，这样直接会致使咱们对诊断时间上大大增长，今天我来和你们一块儿去利用一些专业的网络故障诊断工具来分析网络故障，这样利用诊断工具的人性化的 GUI 界面分析网络来的更加直观，更加高效。

    场景是这样的：某公司遇到这样的网络故障，同时接上两个外网出口时，整个网络访问通信出现异常，网络速度异常缓慢，不少用户甚至不能上网，在客户端进行 ping 包测试时发现，本地客户端严重丢包，断开网通的外网出口，网络却又恢复正常， ping 包测试也无异常。

　　该公司大概有 100 多台电脑，采用双 WAN 出口（电信和网通）访问互联网，网络结构较为简单，外网 —— 路由器 —— 主交换机 —— 二层交换机 —— 客户端。

　　故障分析：因为在断开网通的线路后，网络访问正常，初步怀疑是网通线路问题，因而用笔记本单独接网通线路测试，一切正常，因此首先排除了网通线路的问题。在排除线路问题后，咱们将问题重点放在了内网主机检查上。因为网络速度缓慢而且出现断网的状况，因此怀疑网络中有主机感染 ARP 或其余蠕虫病毒***致使网络瘫痪，因而决定用网络分析系统抓包分析，在中心交换机上作好端口镜像，在笔记本上安装网络分析系统（以科来网络分析系统为例），将笔记本接到中心交换机的端口上，启动网络分析系统开始捕获数据，约 6 分钟后中止捕获并分析捕获到的数据包。

　　咱们首先了解网络的总体运行状态，在概要统计视图中能够看到：网络的总共流量为 1.828GB ，而利用率则达到了近 80 ％，这是网络缓慢的一个重要指示参数。咱们再看 TCP 的参数信息，此处， TCP 的同步数据包与结束链接数据包分别是 17796 和 9963 个，由 TCP 的工做原理咱们知道， TCP 在工做时首先会经过三次握手创建链接，数据传输完成后，必须关闭链接，在创建握手的时候，会产生 2 个同步数据包，而关闭链接的时候，也会产生 2 个同步数据包，因此，理论状况下， 1 个 TCP 链接的同步数据包与结束链接数据包应该大体相等，若是两者的数据包相差较大，说明当前的网络传输不正常。以下图：

 

    选择端点视图，咱们发现， IP 地址为 192.168.1.2 这台主机的网络链接数较多，而且流量也比较大，因此，咱们定位这个 IP ，单独对其分析。　　在节点浏览器中选择 192.168.1.2 ，打开矩阵链接视图，咱们看到，该主机的通信主机数达到了 1000 个，而且很大一部分为单向流量，以下图：

 

    打开图表视图，咱们查看该主机的 TCP 链接状况。从中能够看到，该主机的 TCP 同步数据包、结束链接数据包以及复位数据包的比例，以下图：

 

　打开会话视图，查看该主机的TCP会话状况，以下图：

 

    在该主机的 TCP通信中，咱们能够看到：该主机尝试经过不一样的端口试图与其余IP创建链接，发送的数据包大小均为246B，可是，并无收到目标主机的任何回应数据包，这说明，其发送的同步数据包被目标主机复位终止了链接或目标主机均为异常的IP地址，是该主机感染病毒后随机向其余主机发送同步链接数据包以试图感染其余主机。因此，综合以上的判断，咱们肯定，192.168.1.2这个主机感染蠕虫病毒，正在发送大量的数据包进行扫描以试图感染其余主机。

　　经过相似的方法，咱们发现： 192.168.1.94 这个 IP 也存在一样的行为，不过，扫描方法由 TCP 扫描变为了 UDP 扫描，目标主机也基本是内网 IP ，而且，其发包的频率也很是快， 1 秒左右的时间就会发起 10 个一样的数据包，以试图***或感染其余主机，对网络带宽的耗费是很是严重的。以下图：

 

 

 

    其次，经过 UDP 会话，咱们还发现， IP 地址为 192.168.1.13 的这个主机也存在异常状况，该主机基本全是接收的数据包并无发送数据包，外网 IP 不断尝试链接该主机的 3325 端口，这就说明，该主机感染了***病毒或正在被***。以下图：

 

    发现 192.168.1.2 与 192.168.1.94 感染病毒，而 192.168.1.13 则被植入病毒，从而致使网络几近瘫痪。至此，经过科来网络分析系统对网络通信的分析，网络故障全面排除。有时候咱们恰当的用好网络诊断工具将会对咱们分析网络故障显得更加直观，问题解决的也会更快点。