對於硬體
一般都是由架構網路的設備,包括網卡、網線、路由、交換機、數據機等設備引起的的網路故障 。對於這種故障,我們一般可以通過PING命令,和tracert命令等查看的出來。
關於軟體
這是一個很複雜的東西。系統:一般TCP/IP協定如果出現故障的話,網路肯定是會出現問題了。還有可能就是對用戶管理出現了問題。有時候防火牆的設定也會影響網路。
大家分享一下科來網路分析系統進行網路故障分析的一般方法,很多網路故障,如網路丟包嚴重、網速慢、網路攻擊等等,往往會讓我們感覺無從下手,這時,利用科來網路分析系統,結合網路分析,就會讓我們事半功倍。當然,方法會有很多,如果大家有其他的見解和意見,歡迎跟帖討論!
特徵
對於蠕蟲病毒的查找,在科來網路分析系統中,可以首先查看以下參數:TCP數據包、TCP連線、網路連線及會話,對應的分析視圖分別是概要統計、圖表、端點以及會話視圖。任何一種蠕蟲病毒,要在網路中傳播,都會具有相同的網路行為特徵——掃描,都會產生異常的網路通訊,利用這些行為特徵,我們就能夠找到感染蠕蟲病毒的主機。
通過概要統計中的TCP數據包和TCP連線的數據信息,我們可以大概判斷網路的TCP傳輸是否正常。正常的TCP傳輸,理論情況下,同步數據包與結束連線數據會大致相等,約為1:1,但是如果相差非常大,如上圖的比例為8032:1335,即該主機發出了8032個同步位置1的數據包,而結束連線數據包卻只有1335個,初步可以判斷該主機存在異常。然後再通過端點及會話視圖進一步分析
在端點視圖中,可以通過網路連線、傳送數據包、接收數據包等進行分析,而會話視圖可以查看詳細的通訊,如果存在掃描等行為,會不斷的嘗試連線目標主機,通訊流量也會基本相同,如上圖的198B,並且一般都只有傳送數據包而沒有接收數據包。當然,蠕蟲病毒也有不同的類型,針對不同類型的病毒,方法也略有不同,總之,希望以上的內容能給大家一點參考和借鑑。
DOS攻擊
如果網路中存在DDOS攻擊,我們該怎么查找呢?首先,同樣可以通過端點視圖的網路連線、傳送數據包及接收數據包這幾個參數來查看
在端點視圖中,可以根據網路連線及數據包的傳送和接收等信息定位可疑主機,然後,再通過矩陣視圖查看數據通訊情況,
在矩陣視圖中,可以非常直觀的看到主機的通訊情況,如當前這個IP主機正在與超過1000個節點IP進行會話,其接收數據包為608311個,接收流量有113MB,而傳送數據包與傳送流量均為0,說明該主機可能正在遭受攻擊,如果要進一步分析攻擊方式,則可以通過數據包視圖查看,通過數據包解碼確定攻擊方式,如SYN Flood。
丟包
網路中經常會出現網路速度慢、丟包嚴重的情況,這類的故障通常是網路管理中最常見也是最頭疼的問題之一。論壇中的不少兄弟都提出過類似的問題,在此,和大家討論一下在遇到網路慢的時候,用科來網路分析系統的一些分析方法。
網速慢
由於引起網路速度慢的原因非常多,如網路環路、廣播風暴、流量占用、P2P下載、病毒等等,在遭遇網速慢時,我們如何才能很快的找到問題根源呢,通過科來網路分析系統抓包分析,是一個較好的解決方法。我的個人看法是首先可以通過專家診斷視圖看是否有比較明顯的故障,如ARP掃描或欺騙;如果是比較隱性的故障信息(傳輸層或網路層),那么可以在端點視圖下查看IP流量、網路連線、傳送/接收數據包等是否有異常,如果發現有可疑主機,定位該主機,對其會話、矩陣、數據包進行具體分析,是很快可以找到故障原因的。在此,還想說一下科來的節點瀏覽器,個人感覺這是非常好的一個功能,快速定位節點,快速篩選和過濾數據,在分析網路故障時非常有用,之前的連載也提到過,不知大家還有沒有印象。
下圖是在一次網路故障時抓包的一個截圖,抓包時網路非常緩慢,ping外網延遲在2000ms作用,經過多方位的查找,依然沒有找到問題根源,於是用科來網路分析系統抓包,發現有一台主機的通訊極不正常(在矩陣視圖顯示非常直觀),於是將其斷網,ping值立刻恢復正常,10ms左右。
以上和大家討論了幾種較常見的網路故障以及用科來的查找方法,希望對大家在查找網路故障時能有一點幫助。當然,網路故障錯綜複雜,沒有什麼方法和產品能夠保障網路永遠穩定的運行,當我們遇到網路故障的時候,藉助科來網路分析系統,能夠快速的找到和解決網路故障,使我們的工作和業務不受損失,這才是最重要的。
故障匯總
1.故障 現象:網路適配器(網卡)設定與計算機資源有衝突。
分析、排除:通過調整網卡資源中的IRQ和I/O值來避開與計算機其它資源的衝突。有些情況還需要通過設定主機板的跳線來調整與其它資源的衝突。
2.故障現象:網咖區域網路中其他客戶機在“網上鄰居”上都能互相看見,而只有某一台計算機誰也看不見它,它也看不見別的計算機。(前提:該網咖的區域網路是通過HUB或交換機連線成星型網路結構)
分析、排除:檢查這台計算機系統工作是否正常;檢查這台計算機的網路配置;檢查這台計算機的網卡是否正常工作;檢查這台計算機上的網卡設定與其他資源是否有衝突;檢查網線是否斷開;檢查網線接頭接觸是否正常。
3.故障現象:網咖區域網路中有兩個網段,其中一個網網段的所有計算機都不能上網際網路。(前提:該網咖的區域網路通過兩個HUB或交換機連線著兩個的網段)
分析、排除:兩個網段的幹線斷了或幹線兩端的接頭接處不良。檢查伺服器中對該網段的設定項。
4.故障現象:網咖區域網路中所有的計算機在“網上鄰居”上都能互相看見。(前提:該網咖的區域網路是通過HUB或交換機連線成星型網路結構)
分析、排除:檢查HUB或交換機工作是否正常。
5.故障現象:網咖區域網路中某台客戶機在“網上鄰居”上都能看到伺服器,但就是不能上網際網路。(前提:伺服器指代理網咖區域網路其他客機上網際網路的那台計算機,以下同)
分析、排除:檢查這台客戶機TCP/IP協定的設定,檢查這台客戶機中IE瀏覽器的設定,檢查伺服器中有關對這台客戶機的設定項。
6.故障現象:網咖整個區域網路上的所有的計算機都不能上網際網路。
分析、排除:伺服器系統工作是否正常;伺服器是否掉線了;數據機工作是否正常;局端工作是否正常。
7.故障現象:網咖區域網路中除了伺服器能上網其他客戶機都不能上網。
分析、排除:檢查HUB或交換機工作是否正常;檢查伺服器與HUB或交換機連線的網路部分(含:網卡、網線、接頭、網路配置)工作是否正常;檢查伺服器上代理上網的軟體是否正常啟動運行;設定是否正常。
8.故障現象:進行撥接操作時,Modem沒有撥號聲音,始終連線不上網際網路,Modem上指示燈也不閃。
分析、排除:電話線路是否占線;接Modem的伺服器的連線(含:連線、接頭)是否正常;電話線路是否正常,有無雜音干擾;撥號網路配置是否正確;Modem的配置設定是否正確,檢查撥號音的音頻或脈衝方式是否正常。
9.故障現象:系統檢測不到Modem(若Modem是正常的)。
分析、排除:重新安裝一遍Modem,注意通訊連線埠的正確位置。
10.故障現象:連線網際網路速度過慢。
分析、排除:檢查伺服器系統設定在“撥號網路”中的連線埠連線速度是否是設定的最大值;線路是否正常;可通過最佳化Modem的設定來提高連線的速度;通過修改註冊表也可以提高上網速度;同時上網的客戶機是否很多;若是很多,而使連線速度過慢是正常現象。
11.故障現象:計算機螢幕上出現“錯誤678”或“錯誤650”的提示框。
分析、排除:一般是你所撥叫的伺服器線路較忙、占線,暫時無法接通,你可進一會後繼續重撥。
12.故障現象:計算機螢幕上出現“錯誤680:沒有撥號音。請檢測數據機是否正確連到電話線。”或者“There is no dialtone。Make sure your Modem is connected to the phone line properly。”的提示框。
分析、排除:檢測數據機工作是否正常,是否開啟;檢查電話線路是否正常,是否正確接入數據機,接頭有無鬆動。
13.故障現象:計算機螢幕上出現“The Modem is being used by another Dial-up Networding connection or another program。Disconnect the other connection or close the program,and then try again” 的提示框。
分析、排除:檢查是否有另一個程式在使用數據機;檢查數據機與連線埠是否有衝突。
14.故障現象:計算機螢幕上出現“The computer you are dialing into is not answering。Try again later”的提示框。
分析、排除:電話系統故障或線路忙,過一會兒再撥。
15.故障現象:計算機螢幕上出現“Connection to xx.xx.xx. was terminated. Do you want to reconnect?” 的提示框。
分析、排除:電話線路中斷使撥號連線軟體與ISP主機的連線被中斷,過一會重試。
16.故障現象:計算機螢幕上出現“The computer is not receiving a response from the Modem. Check that the Modem is plugged in,and if necessary,turn the Modem off,and then turn it back on” 的提示框。
分析、排除:檢查數據機的電源是否打開;檢查與數據機連線的線纜是否正確的連線。
17.故障現象:計算機螢幕上出現“Modem is not responding” 的提示框。
分析、排除:表示數據機沒有應答;檢查數據機的電源是否打開;檢查與數據機連線的線纜是否正確連線;數據機是損壞。
18.故障現象:計算機螢幕上出現“NO CARRIER” 的提示信息。
分析、排除:表示無載波信號。這多為非正常關閉數據機應用程式或電話線路故障;檢查與數據機連線的線纜是否正確的連線;檢查數據機的電源是否打開。
19.故障現象:計算機螢幕上出現“No dialtone” 的提示框。
分析、排除:表示無撥號聲音;檢查電話線與數據機是否正確連線。
20.故障現象:計算機螢幕上出現“Disconnected” 的提示時。
分析、排除:表示終止連線;若該提示是在撥號時出現,檢查數據機的電源是否打開;若該提示是使用過程中出現,檢查電話是否在被人使用。
21.故障現象:計算機螢幕上出現“ERROR” 的提示框。
分析、排除:是出錯信息;數據機工作是否正常,電源是否打開;正在執行的命令是否正確。
22.故障現象:計算機螢幕上出現“A network error occurred unable to connect to server (TCP Error:No router to host)The server may be down or unreadchable。Try connectin gagain later” 的提示時。
分析、排除故障:表示是網路錯誤,可能是TCP協定錯誤;沒有路由到主機,或者是該伺服器關機而導致不能連線,這時只有重試了。
23.故障現象:計算機螢幕上出現“The line id busy,Try again later”或“BUSY” 的提示時。
分析、排除:表示占線,這時只在重試了。
24.故障現象:計算機螢幕上出現:“The option timed out”的提示時。
分析、排除:表示連線逾時,多為通訊網路故障,或被叫方忙,或輸入網址錯誤。向局端查詢通訊網路工作情況是否正常。檢查輸入網址是否正確。
25.故障現象:計算機螢幕上出現“Another program is dialing the selected connection” 的提示時。
分析、排除:表示有另一個應用程式已經在使用撥號網路連線了。只有停止該連線後才能繼續我們的撥號連線。
26.故障現象:在用IE瀏覽器瀏覽中文站點時出現亂碼。
分析、排除故障:IE瀏覽器中西文軟體不兼容造成的漢字會顯示為亂碼,可試用NetScape的瀏覽器看看;中國使用的漢字內碼是GB,而*使用的是BIG5,若是這個原因造成的漢字顯示為亂碼,可用RichWin變換內碼試試。
27.故障現象:瀏覽網頁的速度較正常情況慢。
分析、排除:主幹線路較擁擠,造成網速較慢;(屬正常情況)瀏覽某一網頁的人較多,造成網速較慢;(屬正常情況) 有關Modem的設定有問題;局端線路有問題。
28.故障現象:能正常上網,但總是時斷時續的。
分析、排除:電話線路問題,線路質量差;數據機的工作不正常,影響上網的穩定性。
29.故障現象:用撥接時,聽不見撥號音,無法進行撥號。
分析、排除:檢查數據機工作是否正常,電源打開否,電纜線接好了沒,電話線路是否正常。(大眾網路報)
30.故障現象:在撥接的過程中,能聽見撥號音,但沒有撥號的動作,而計算機卻提示“無撥號聲音”。
分析、排除:可通過修改配置,使撥號器不去檢測撥號聲音。可進入“我的連線”的屬性視窗,單擊“配置”標籤,在“連線”一欄中去掉“撥號前等待撥號音”的複選框。
31.故障現象:在撥接的過程中,計算機螢幕上出現:“已經與您的計算機斷開,雙擊‘連線’重試。”的提示時。
分析、排除:電話線路質量差,噪聲大造成的,可撥打:112報修。也可能是病毒造成的,用防毒軟體殺一遍毒。
32.故障現象:若計算機螢幕上出現:“撥號網路無法處理在‘伺服器類型’設定中指定的兼容網路協定”的提示時。
分析、排除:檢查網路設定是否正確;數據機是否正常;是否感染上了宏病毒,用最新的防毒軟體殺一遍毒。
33.故障現象:Windows98網上鄰居中找不到域及伺服器,但可找到其他的工作站。
分析、排除:在“控制臺→網路→Microsoft網路客戶”中,將登錄時Windows 98與網路的連線由慢速改為快速連線。
34.故障現象:在查看"網上鄰居"時,會出現“無法瀏覽網路。網路不可訪問。想得到更多信息,請查看‘幫助索引‘中的‘網路疑難解答’專題。”的錯誤提示。
分析、排除:第一種情況是因為在Windows啟動後,要求輸入Microsoft網路用戶登錄口令時,點了"取消"按鈕所造成的,如果是要登錄NT伺服器,必須以合法的用戶登錄,並且輸入正確口令。第二種情況是與其它的硬體產生衝突。打開“控制臺→系統→設備管理”。查看硬體的前面是否有*的問號、感嘆號或者紅色的問號。如果有,必須手工更改這些設備的中斷和I/O地址設定。
35.故障現象:在“網上鄰居”或“資源管理器”中只能找到本機的機器名。
分析、排除:網路通信錯誤,一般是網線斷路或者與網卡的接確不良,還有可能是Hub有問題。
診斷圖
當今,越來越多的業務套用運行於網路架構之上,保障網路的持續、高效、安全的運行,成為網路管理者面臨的巨大挑戰。然而,儘管做了周密的部署,配置了嚴格的安全策略,儘管在網路管理上的投入越來越多,但是網路的問題還是層出不窮。科來全新推出了《科來網路套用故障診斷圖》,利用網路分析技術幫您快速查找問題根源。
典型案例
實例1:不能訪問伺服器
要先測試一下這一故障是否只影響一台工作站,這可以通過其他工作站訪問伺服器來證實。如果有類似故障的工作站出現在同一網段或連線在同一交換機上,那么就要分析這一網段子網掩碼是否設定正確,交換機是否正常工作。除此之外,還要看一下伺服器是否禁止了這一網段工作站的服務。
實例2:傳輸上百兆數據時出現“網路資源不足”的提示
按常規,網路故障一般不排除以下幾點:網卡有問題、水晶頭做得不規範、網線有問題、網卡驅動或網路協定有問題等。但是根據故障現象來看,以上猜測都可以排除,因為任何一個地方存在問題,就不可能在微機之間進行數據傳輸,從而可以判斷問題應該出在環境因素上。由於大量的數據傳輸需要頻繁的數據讀取,這就要有一個相對平穩的傳輸環境,而網卡附近有干擾時,這種平穩的環境就會被破壞。一般要確保網卡不插在離顯示卡很近的插槽上,現在的顯示卡一般都帶有風扇,而顯示卡風扇將影響到網卡的工作,尤其是顯示卡在頻繁工作時,影響將更加明顯。把網卡拔下來,插到離顯示卡一個較遠的插槽上,即可解決大量數據傳輸時出現的問題。
