[故障现象]
笔者单位的局域网采用CISCO catayst 5505交换机总共划分4个VLAN,VLAN之间的数据交换通过CISCO 4500路由器来进行路由交换,己经正常运行两年之久。但最近一段时间以来,出现了比较少见的故障。
网络时断时续的情况非常严重,并且不断报告计算机的IP地址冲突问题;笔者重点检查了5505交换机的ARP表,情况如下:
(1)CISCO 5505交换机的ARP表只有6~8条记录,而它直连的计算机有60台,4500路由器的ARP表却有20多条。
(2)网络中有40 台计算机主要是安装 Novell的协议,连接Netware的服务器,工作正常;安装TCP/IP协议的计算机之间 ,Ping的结果是时断时续,Ping不通的计算机却可以通过“查找计算机”找到。
(3)能够Ping通的IP地址,在5505交换机的ARP表中却没有对应的记录,需要直接在5505交换机中 Ping此IP地址才会产生 ARP表;但有的IP地址存在于 ARP表,却 Ping 不通,并且存在两台计算机的MAC地址相同这样的奇怪现象(这可能是造成IP地址冲突的原因)或者计算机具有错误的MAC地址。
(4)在ARP表中,有的IP地址对应的MAC地址虽然正确,但是其对应的5505交换机端口(如2/1)又不正确,莫名莫妙地指定到了另外的一个MAC地址或另外的不正确的端口上去。
(5)ARP的Asins Time笔者设定为3600 Sec,但IP—MAC地址不到10min就会清除几个,总共5505交换机的ARP表中才6个。
(6)用户反映在上班以前的网络没有什么问题,但一到上班之后(总共200 台计算机)问题就比较多了。
(7)交换机的SC0口有时能登录,有时不行。
诊断过程
因为网络原来通过5505交换机分为4个VLAN, 各自的网络范围均不一样,通过路由器来进行VLAN交换5505交换机连接在网络的时候有IP地址冲突现象。为了验证是否5505交换机的问题,笔者将5505交换机替换下来,用了几台 CISCO 2924.D一Lnk1024交换机进行级联替换上去。但是意想不到的事情发生了:网络中IP地址冲突现象严重,许多计算机互相Ping不通,不能进行通信,但是Novell网的客户端和服务器通信正常(200台左右的计算机没有划分V L A N)
笔者将CISCO 5505交换机的板卡、内存、模块进行了检查维护,并对5505进行了重新配置再接入局域网。
同时,笔者对网络中的VLAN进行了调整,设置为3个VLAN的网络,另一个VLAN(怀疑有问题的网络)使用一台D—Link交换机连接。进行测试。
笔者将认为有问题的VLAN单独分离后,其他接CISCO 5 5 0 5交换机的3个VLAN作正常,包括通过 CJSCO 4500 路由器进行 VLAN之间的路由也正常,但是将认为有问题的VLAN(50台左右的Novell客户机、50台左右的Windows 98客户机)接入CISCO 5505交换机(备注:在接入这些计算机后此VLAN会增加20台左右的计算机,包括SUN服务器,原来这些计算机与SUN服务器通信是正常的,此VLAN总共为 120台)1~2h以后,就开始出现所有的客户机(包括原来的20台计算机)访问SUN服务器时断时通的现象。
于是笔者又将这 100台计算机的交换机从CISCO 5505交换机上断开,原来的20台计算机就可以与SUN服务器通信了。
笔者认为故障应该不在5505交换机上面,因为出问题的VLAN己经单独换出来,并用几台CISCO 2924交换机和D—Link 1024交换机级联在一起组成一个网络,网络中这100台左右的计算机包括SUN服务器、Novell服务器、Novell客户机、Windows 98客户机。
Novel服务器和Novel客户机工作正常 ;
Windows 98客户机Ping SUN服务器时通时断;
Windows98客户机之间Ping也是时通时断
Windows 98客户机可以通过“查找计算机”找到另外的Windows 98计算机 :
笔者通过查看IP地址分配表,发现网络中IP地址并没有重复,但还是冲突不断,无论换什么IP地址都是这样Ping还是时通时不通。
从以上的种种现象分析,基本可以认为是某些计算机在产生大量的数据包,占用了大量的网络和系统资源。
在逐个排查客户机的时候,发现有一台计算机启动的时候,屏幕上会出现提示该机的IP地址与某个硬件地址冲突(MAC: 00 :10:5C:AF:CF: 45)。不管改成什么IP地址都会出现lP地址)冲突。接下来发现几乎所有客户机都提示与上述MAC地址冲突 ,但是暂时无法确定这个MAC地址的来源
笔者通过监测软件,看到IPX协议包Talker是广播包(Broadcast):IP协议包的Taker是l92. 168.0.255. 192. 168.255.255. 192. 255. 255. 255等,但从通信量 Top10 Host来看,没有什么大的数据包。
用Fluke的协议诊断软件Protocol InsPector进行了5h的监测,终于发现有一台计算机在向一个外部Internet IP地址发送大量的UDP数据包。笔者将这台计算机进行了隔离测试 结果发现网络恢复正常。将这台计算机接上,网络开始不正常。因此,确认是此台计算机的问题。
对此计算机进行了封存检查,发现发送大量广播包是一个虚假现象。真正原因是该计算机上的一个类似“黑客软件”的软件在网上发送数据量很小的ARP包,将网络上交换机中的近200个IP地址的MAC地址都改成一个同样的MAC地址,造成其他计算机一开机就会出现IP地址冲突,无论改此网段的什么IP地址都会提示冲突,SUN服务器的ARP缓存当中的MAC地址也被修改造成无法正常工作。由于此软件不会修改IPX的MAC地址,因此Novell网络没有受到影响。
排除心得估计是由于这台计算机的用户上网时不小心下载了这个软件,一段时间后,开始作用并破坏网络通信。此种攻击方式数据量小,攻击时间不定,MAC地址隐匿、开机时间也不确定,真是防不胜防,局域网的防火墙需要注意随时升级以避免类似的攻击行为发生。
