一起网络故障的处理与分析
开篇:润墨网以专业的文秘视角,为您筛选了一篇一起网络故障的处理与分析范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
一、故障分析及处理
现象为信息网络出现多次网络规律性反复闪断故障,而且影响面较广:互联网、办公自动化系统、生产MIS系统网络通讯故障,有时一天内中断数十次;其他应用系统,如可靠性管理、投资统计等系统也被涉及,对于我公司生产经营工作造成了严重的影响。
总结这次网络故障,有以下几个特征:
第一,规律性。上班时段每10分钟左右出现一次,下班时间则很少出现。
第二,反复性。如果重起中心交换机可以保持短时正常,然后重新出现该故障。
第三,短时性。每次中断10秒~60秒自动恢复。
第四,分时性。因特网和内网不同时中断,各个应用系统也不同时中断。
我们最先发现的是因特网的定时中断,首先怀疑是我公司互联网防火墙出现故障,采用排除法进行排除,更换为一台备用防火墙后故障现象仍然出现,于是怀疑是移动公司设备故障(我们的因特网使用河南移动公司服务,曾经出现过因他们设备故障因特网不通),经过和移动公司协调,检查后移动公司方设备无故障,我们就用一台计算机直接接到因特网入口上,发现因特网的定时中断现象解除,于是首先排除了互联网设备的因素。
其次,基层部门反映生产MIS总是不定时中断,频繁的时候十几分钟就中断一李小永 张 岚 河南省电力公司平顶山供电公司 次,调度值班记录、工作票系统提示发生通讯故障,我们怀疑是内部交换机故障,就要求运行工区、调度中心进行配合,共同调查故障现象发生时间和频率,变电站反映下班时间网络很稳定,上班时间中断厉害,因此我们怀疑是中心交换机处理能力不够,但是经过我们测试,中心交换机CPU板负荷很小。于是我们就向两个方面怀疑:第一是中心交换机CPU板故障;第二是新上的财务FMIS系统用的VPN网络设备干扰了我们网络的正常运行。将财务FMIS断开后,运行一个工作日之后,故障现象仍然出现,判断该故障与FMIS无关。于是怀疑中心交换机CPU板故障。由于故障原因不明,一块中心交换机CPU板费用又太贵(约6万元),我们不能贸然购买,经过和设备提供商多次协商,同意借一块CPU板给我们测试,一周后收到CPU板,我们马上进行替换,但是在十几分钟后故障现象再次出现。
后来在网络维护工程师的帮助下,通过分析主交换机的计算机用户地址列表,发现有几台计算机频繁的循环占用,出现一个MAC对应多个IP地址的现象。在主网段发现两台这样的计算机,循环占用各个服务器和交换机、防火墙的地址,造成这些设备不定期的网络通讯故障,并且经确定为感染病毒所致。
我们通过MAC地址找到这两台感染病毒的计算机,将计算机和网络断开后,网络立即恢复正常。我们根据MAC地址依次找到其他有问题的计算机,处理后网络恢复正常。经过查询所知病毒名称为:“网络传奇杀手(Trojan.PSW.LMir.qh)”病毒。
二、网吧传奇杀手(Trojan.PSW.LMir.qh)”病毒分析
1.“网吧传奇杀手“木马病毒工作过程
“网吧传奇杀手”病毒工作时,首先在将安装有“网吧传奇杀手”机器的网卡MAC地址通过Arp欺骗广播至整个局域网,使局域网中的工作站误认为安装“网吧传奇杀手”的机器是该局域网的网关。由于局域网中的所有信息,都必须通过网关来中转,当网络有此病毒在运行时,就造成了网络故障。
2.“网吧传奇杀手”木马病毒发作特征
(1)网络连接短暂中断。当“网吧传奇杀手”病毒发作时,网络所有的机器由于失去了真正的网关地址,网络连接会出现短暂中断,当病毒搜集《传奇2》玩家信息操作完成后,网络便恢复正常。网络中断时间,一般会在30秒到几分钟之间,持续时间不会太长。
(2)网络中出现相同的MAC地址。病毒发作时,使用“IPbook超级网上邻居”、“网络过滤王实名制管理软件”等网络管理软件查看网络时,会发现局域网中存在着相同的MAC地址。如果有多台机器安装了“网吧传奇杀手”木马病毒,局域网中则会出现不同的IP地址中却存在相同的MAC地址。
三、经验教训
通过本次网络故障及处理的过程,我们总结以下几点经验教训:
1.对于各网络用户,提请注意以下问题
(1)加强网络安全管理,建立健全防病毒安全系统。经检查发现,造成这次网络故障的几台计算机,都没有按照公司要求安“趋势”防病毒系统,造成了系统病毒感染。同时对于已安装防病毒系统的计算机,应及时对操作系统进行补丁升级,避免因系统漏洞给类似病毒以可乘之机。
(2)加强互联网应用的监控和管理。造成这次网络故障的病毒――“网吧传奇杀手”是专门针对网络游戏“传奇”而攻击系统的病毒,因此增设了互联网日志管理系统,屏蔽掉网络游戏、流媒体播放等安全隐患大、流量高的访问,尽量避免访问易感染病毒的游戏网站等,避免对我们的网络安全造成隐患。
2.信息管理部门需进一步改进的工作
(1)把重要的服务器IP地址和MAC地址绑定,使其他计算机不能够占用。
(2)应建立互联网访问日志管理系统,加强对互联网使用的监控和管理,并制定相应的规章制度,对互联网使用进行规范管理,避免类似情况的发生。
(3)合理规划网络,尽量避免因PC机故障影响网络运行。
我公司中心交换机使用的是北电网络的passpor8610,按二级交换划分了多个VLAN,使用静态IP,主交换机、服务器和重要部门设在一个网段。网络结构如下图所示:
造成这次网络故障的几台PC机都位于信息网络主网段(图中红色部分),而重要的服务器和交换机都在这个网段,由于目前主交换机光纤口已经用完,因此这个网段计算机较多,也形成了安全隐患。计划对主交换机进行扩容,增加千兆光纤口,届时可将部分PC机调整出主网段,将服务器和交换机等核心设备规划到独立网段,以避免类似情况发生,其他计算机按机构划分一些虚网,减少主网设备数量,降低故障率,出现网络故障时候,也比较容易查找故障设备。