网络排故案例分析一:病毒引发的网络故障
[时间:2009-11-26]  [文章来源:上海百络]  [责任编辑:master]

       故障现象

      用户反馈信息说某个子网的客户端无法正常上网,远程登录三层交换机,检查连接用户办公楼端口,未发现有异常情况。可是Ping DNS时断时续

      故障诊断

      建议管理员首先检查网络是否出现风暴或网络回环。打开百络网警监控用户所在网络,看是不是出现流量异常的现象,监控两个小时后发现流量很正常。很奇怪,据用户反映在中午下班时网络正常恢复正常,但是下午用户又打来电话说网络又不正常了,初步判断问题出在用户端。

      管理员到用户办公室逐个排查。根据用户反映,如果把网卡禁用后再启用,网络就正常了,但过10分钟又无法ping通,周而复始。我们知道,网卡禁用再启用的过程,就是一个Arp的学习过程,在此期间,它会发出一个Arp的请求,询问谁是这个网段的网关,然后得到这个网关的MAC地址,然后当它需要去访问不同网段机器的时候,就会把数据包丢给那个网关。那么,是不是用户的某台机器中了病毒,导致它可以模仿真实网关的地址,使得在内的客户端在上网时都把数据包发给了这个模仿真实网关的机器,从而产生故障?马上找了一台机器用arp -a命令去查看这台机器默认网关的MAC地址,发现当网络正常时显示的默认网关的MAC地址是正确的,当故障出现时默认网关的MAC地址突然变了。

      故障解决

      记下出现故障时显示的那个网关的MAC地址,然后在楼道交换机上根据这个MAC地址查到是哪个机器,拔掉该机器的网线后,网络恢复正常。至于为何中午下班时上网正常,是因为用户下班时将中病毒的机器关了,所以大家都又能够正常上网。中毒机器杀毒后也恢复正常。

      排错总结

      当网络出现故障的时候,一定要多了解用户端情况,通过用户对故障的描述抓住网络故障的实质。当出现奇怪的网络现象时,并不一定是网络设备的问题,可以分析是否是用户端的机器中了病毒导致这种现象发生。



    [关闭本页]
  关键词:  局域网故障管理,网络排故
首页 |  局域网监控软件 |  局域网管理软件 |  流量监控软件 |  百络网警用户论坛
Copyright © 2013-2016 NETBAI.COM 上海百络信息技术有限公司 版权所有 E-MAIL:netbai999@126.com
监控软件-征信网认证 监控软件-网警网络110 沪ICP备14015905号-1
监控软件-公安部检测报告 监控软件-360认证 监控软件-瑞星认证 监控软件-金山云安全中心网站安全检测 监控软件-江民安全认证 监控软件-卡巴斯基检测通过 监控软件-小红伞安全认证