明辉站/杀毒教程/内容

单位网络异常缓慢的故障区分与处理

杀毒教程2023-07-08 阅读
[摘要]问题表现  一个上千台电脑的政府单位, 有着高端防火墙和IDS产品, 突然出现上网速度缓慢, 甚至无法打开网页的现象。 在机房中进行ping包测试, 发现中心交换机到内部主机的ping包响应时间正常, 但ping外部DNS时响应时间较长, 且出现间歇性丢包。 登录到交换机, 发现交换机占用负...

问题表现

  一个上千台电脑的政府单位, 有着高端防火墙和IDS产品, 突然出现上网速度缓慢, 甚至无法打开网页的现象。 在机房中进行ping包测试, 发现中心交换机到内部主机的ping包响应时间正常, 但ping外部DNS时响应时间较长, 且出现间歇性丢包。 登录到交换机, 发现交换机占用负载较大, 但防火墙和IDS都没有对该事件进行报警。 检查交换机ARP表却没发现异常, 于是清除交换机的ARP表并重启交换机, 但故障仍然存在。

  原因分析

  首先对网络的数据进行检查, 管理者采用网络分析软件进行抓包分析, 将网络分析采集软件部署在中心交换环节。 通过网络分析软件分析, 获得了大量的真实数据, 从分析的结果数据中, 管理者发现以下问题:

  1.由于网络几乎瘫痪, 网络流量并不高, 两分钟的流量不足140MB, 但网络连接数非常高, 达16540次;通过连接数排序, 找到连接数最大的IP地址是10.8.24.xx, 在两分钟内收发的流量只有133M, 但连接数远高于其他IP。

  2.网络分析结果显示445端口请求次数高, 并且都来自于IP为10.8.24.xx的主机。 从数据显示, 它在向内网所有IP发送445端口请求数据包, 产生的频率每秒高达140次。

  解决方法

  1.隔离。 管理者发现问题后, 首先采取的措施是隔离问题源, 在交换机上拔掉10.8.24.xx机器的网线, 整个网络恢复, ping外网IP响应时间正常, 可以正常访问网页。

  2.问题排除。 对主机10.8.24.xx进行检查时, 发现它在进行大量BT下载, BT是一种点对点传输方式, 会大量占用网络资源, 从而影响正常网络访问的速度, 网络会变得很慢。 除此之外, 对10.8.24.xx进行检查, 这台主机是内网一台重要服务器, 中了一种新的蠕虫病毒, 并在内网进行大量扫描攻击。 管理者通过专杀工具杀毒后, 服务器恢复正常。


上面是电脑上网安全的一些基础常识,学习了安全知识,几乎可以让你免费电脑中毒的烦扰。

……

相关阅读