发文章
发文工具
撰写
网文摘手
文档
视频
思维导图
随笔
相册
原创同步助手
其他工具
图片转文字
文件清理
AI助手
留言交流
1. 环境简介 这是一个实际发生的网络利用率异常导致网络大量丢包的案例,用户的网络丢包现象很严重,给用户造成了很大的困扰。2. 网络环境 用户的网络是一个省级网络环境,包括局域网和广域网,并同全国的广域网络相连。网络拓扑如下:
3.网络异常现象 该网络丢包现象严重,如果通过省局域网向地市网络或全国网络发包,每发出10个PING包将只能收到7个REPLY包,这样,基于网络的应用受到很大的影响。4.找出产生网络流量最大的主机 我们同样利用Sniffer的Host Table功能,将该网络所有计算机产生的网络流量按照发出数据包的包数多少进行排序,结果如下图。从上图中我们看到,IP地址为10.22.0.25的主机发出数据包最多,远远超过了其他主机,相应产生的流量也最大。5.分析这台主机的网络流量 首先我们分析该主机的网络流量流向,也就是分析它在向谁发包,我们利用Sniffer的Matrix功能来监控。通过Sniffer的Matrix,我们发现IP地址为10.22.0.25的主机发出的数据包很分散,我们调查了一下,发现IP地址为10.22.0.25的主机为该网络的网络管理系统主机,而它发包的对象是该网络中地市级路由器的IP地址,也就是说网络的网管主机向地市路由器发出大量的网络包,导致网络流量异常并导致网络大量丢包,使网络处于不稳定状态。 在发现这个问题后,我们将该网管主机的网络连接解除,发现网络马上恢复到了正常状态,不在有丢包现象发生,看起来这个网络的问题完全是由这台网管主机引起的一样,但这种现象非常难以理解,为什么网管主机会造成网络问题呢。 我们利用Sniffer的Decode功能将捕获到的网络流量解码,来分析网管主机发出的数据包的内容,看看到底它发出了什么样的数据包。我们通过Sniffer的Decode发现这台网络主机向网络中地市路由器发送大量的ICMP Echo数据包,也就是Ping包,我们对其向10.22.127.246发送的ICMP Echo包进行分析,发现了奇怪的现象。 我们对我们捕获的由10.22.0.25向10.22.127.246发送的ICMP Echo包其中相邻的数据包进行解码分析,图19为其发出的第739个数据包,上图为其发出的第740个数据包,我们发现这两个包的IP Identification是一样的,都是15633,每个IP包都会有一个特定的Identification来标志其唯一性,这说明我们捕获到的这两个数据包其实是同一个IP包。而捕获到的这个数据包的Time to live也就是TTL值一个为251,另一个为250,TTL为IP包的生存时间,每经过一个路由处理,TTL值就会被减一,直至到0后被路由器丢掉。 我们看到其他的数据包也是同样的情况,这个IP ID为15663的数据包不断在网络中出现,直到TTL值减到0,这种现象清楚的表明,网络里存在着路由环,发向10.22.127.246的数据包是在路由器间不断的互相传递,最终被丢掉,这种现象也可以成为路由乒乓现象,出现路由环后,一个数据包将重复在网络中传送,而且瞬时流量会异常的大,造成网络异常,这正和该网络的网络异常现象相吻合。 为什么会出现路由环呢,我们对其网络进行了详细的了解,发现其在路由器中设置了大量的静态路由,其路由设置如下图所示。从上图中我们可以看出,如果二级网路由器同地市网络路由器之间的DDN网络连接一旦中断,二级网路由器中所设的指向地市网络路由器的静态路由就会由于端口状态问题而无效,而其到各地市网段的路由指向就会采用缺省路由指向而指回省局域网交换机,这样路由的乒乓现象就形成了。事实上当时的地市网络并未调通,但网络的路由都已经设置完成了,同时各地市路由器的IP地址已经添加到了网管系统中,网管系统在固定的时间间隔内向这些路由器发出ICMP包,验证这些路由器是否能够访问到,而这些ICMP包却在省局域网交换机和二级网路由器间被放大形成乒乓现象,造成网络丢包现象严重。 这个案例告诉我们,在配置静态路由时要非常小心,最好不要在网络配置中采用静态路由
来自: beidouxingstar > 《网络管理》
0条评论
发表
请遵守用户 评论公约
教你判断无线网络是否被蹭
第二步:arp -a是显示当前主机ARP缓存信息的命令,只要有其他主机进行过ARP查询操作,在这个列表中都可清晰看到,arp -a将显示主机的IP...
利用Sniffer进行DOS攻击流量分析(图解)
我从Decode内容看,我们发现IP地址为210.51.9.89的主机向IP地址为209.198.252.200的主机发出的都是DNS 数据包,但是是不完整的数据包,...
借助Sniffer分析网络流量 - 矩阵西点 - 51CTO技术博客
Identification是用来唯一标识主机发出的每个数据包的,正常情况下每个数据包的ID都不一样,而TTL是用来限制数据包在网络中经过的跳数的...
四大网络攻击常见手段及防护
在茫茫的互联网上,随时都在发生着攻击,也许在你看这篇文章时,你的电脑正在被别人扫描,口令正在被别人破译,这一切看似无声的战争让人防不胜防。作为企业终端用户,有必要了解网络攻击者常用的手段...
理解WINDOWS中的路由表和网关
你可以在单个网络接口、多个网络接口上同时配置多个默认网关,但是TCP/IP同时只会使用一个默认网关(默认路由),这个当前使用的默认网关称为活动默认网关(活动默认路由)。TCP/IP会通过死网关检测算...
代理、网关与隧道
(4条消息)代理、网关与隧道。网关服务器的特点:客户端不知道真正的服务器是谁,服务器也不知道客户端是什么样的客户端同代理服务器,代...
基于交换网络的ARPspoofingsniffer
通过arp 欺骗,一般sniffer有几个方法:1. 就是上面介绍的欺骗MAC进行数据窃听,但由于A收不到数据,这样它会重新发布ARP包,这样导致sniffer很容易暴露,而且效果不好,A会丢包,同样你的sniffer 一样...
【技术】网络监听攻击技术 - 系统攻防 - 360论坛
【技术】网络监听攻击技术 - 系统攻防 - 360论坛 _360安全中心 - 国内最大的免...而黑客一般都是利用网络监听来截取用户口令。许多局域网内有十几台甚至上百台主机 是通过一个电缆、一个集线器连接在一...
如何查看网中IP是否被占用
众所周知在没有安装防火墙和设置过滤规则的计算机上都容许ICMP协议数据包的通过,那么可以通过“ping ip地址”这个命令来查看该IP地址是否有计算机使用。ARP缓存法是以前面介绍的ping法为基础而来的,...
微信扫码,在手机上查看选中内容