前段时间发生了这样一件事,早上来还没进屋,就听到办公室电话铃响个不停,都是用户投诉上不了网的故障电话。我马上Ping了网关路由器地址,发觉Ping包延时很大,还是通时断。这时候立即明白网络带宽拥塞。由于没有LAN网流量监测工具,无法知道在网上的流量类别和数据来源,只好在路由器10M的LAN口作流量分析,这需要通过设置交换机镜像口。我发现有N个不知名的IP源地址,从相同一个MAC向外发包。初步估计是这台机器中了病毒。我们单位网络中有上千台主机,都是网络管理员为入网用户分配和提供的IP地址但是,一旦中客户机中病毒,发包堵塞网络的情况发生的时候造成网络拥塞。很不好排查.通常情况下一些网络管理员通过sniffer软件可以检测到是哪个IP发的包,但是对于大型网络有几十台交换机就无法短时间确定故障机器插到那个交换机上。如果能找到就登陆到交换机上把那个端口关闭(shutdown)与网络隔离后在处理。从而保证其他正常的机器不受影响。下面我我们单位的实际网络为例,为大家介绍一种手工查找IP地址对应交换机端口的方法。
由于我们单位网络设备统一是cisco,CISCO 设备定期发送更新来使自身知道它的邻居,我就利用CDP(Cisco Discovery Protocol)协议特性,获得相邻运行CDP协议的交换机信息,下面我们看看具体操作。
网络拓扑结构示意图
具体操作如下:
首先我telnet到核心交换机上ping一下被到的IP如(10.32.2.18)
BJ-SW-419-1-4#ping 10.32.2.18
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.32.2.18, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
你看通了,表示盗用者正在使用机器。接着我们看看他机器网卡的MAC地址是多少。
BJ-SW-419-1-4#show arp | in 10.32.2.18
Internet 10.32.2.18 3 000d.5621.afd6 ARPA Vlan20
因为我们单位的是多层交换的网络,下一步我们要知道他的机器是接到那个交换机器上的。
BJ-SW-419-1-4#show mac-address-table dynamic address 000d.5621.afd6
Unicast Entries
vlan mac address typeprotocols port
-------+---------------+--------+---------------------+--------------------
20000d.5621.afd6 dynamic ip,ipx GigabitEthernet3/2
哦,是通过千兆的口连的。我们看看邻居(就是核心交换机器的下级交换机)
BJ-SW-419-1-4#sh cdp neighbors
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone
Device IDLocal Intrfce HoldtmeCapability Platform Port ID
BJ-SW-419-2-3Gig 3/4152 S I WS-C3550-4Gig 0/2
BJ-SW-419-1-3Gig 3/3168 S I WS-C3550-4Gig 0/2
BJ-SW-440-1-4Gig 3/1173 S I WS-C3550-4Gig 0/2
BJ-SW-440-2-4Gig 3/2143 S I WS-C3550-2Gig 0/2
cec-2-4 Gig 3/6177 S I WS-C3550-4Gig 0/1
cec-2-3 Gig 3/5175 S I WS-C3550-4Gig 0/2
找到了他在BJ-SW-440-2-4Gig 3/2143 S I WS-C3550-2Gig 0/2 上
好,下面我们直接telnet到BJ-SW-440-2-4这台交换机,输入MAC查找。
BJ-SW-440-2-4#show mac-address-table dynamic address 000d.5621.afd6
Mac Address Table
-------------------------------------------
VlanMac Address TypePorts
--------------- -------------
20000d.5621.afd6DYNAMIC Fa0/23
Total Mac Addresses for this criterion: 1
结论:
出来了,他的机器接在了BJ-SW-440-2-4交换机的23端口,然后 根据综合布线时候的跳线表就可以直接找到盗用地址的人了。通过以上方法,网管员找到了一条连到中毒机器,通过对应表我们知道用户属于哪个部门,接下来就是是进行杀毒处理了。
|
500-1 |
500-2 |
500-3 |
500-4 |
500-5 |
500-6 |
|
1 |
2 |
3 |
4 |
5 |
6 |
对大家的建议,我们在做网络管理时手里一定要有一份IP地址和硬件地址的严格对应表,不短完善网络管理功能,故障检测手段,提高网络故障的清查能力。
【相关文章】
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · SQL Server 2008/2005.. · SOA 面向服务架构 · SQL Server 2008/2005.. · iSCSI应用与发展 · RAID——磁盘阵列基础 · 中间件应用技术专题 · SQL Server入门到精通 · 国际文档格式标准开战 |
· 路由器设置与口令恢复 · Linux防火墙 · 打造安全服务器 · SOA 面向服务架构 · PHP开发应用手册 · ADSL应用面面俱到 · 入侵防护系统(IPS)初探 · 数据恢复指南 |
|||
|
||||
| · iSCSI应用与发展 · 中间件应用技术专题 · SQL Server入门到精通 · SQL Server 2008/2005.. · SOA 面向服务架构 · iSCSI应用与发展 · RAID——磁盘阵列基础 · 数据恢复指南 |
· 路由器设置与口令恢复 · SOA 面向服务架构 · 了解统一威胁管理(UTM).. · ADSL应用面面俱到 · ADSL应用面面俱到 · PHP开发应用手册 · 中间件应用技术专题 · 交换机故障解决指南 |
|||
