网络医生成长记：网络故障快速定位

来源：qqread 作者：佚名出处：巧巧读书 2008-01-03 进入讨论组

故障定位二：是交换机，还是下挂用户有问题？

于是联系当地信息中心询问情况，反映上网速度很慢，几乎上不了。拔掉流量较大的几个端口port11、port9的双绞线，过段时间观测，正常。但是一旦插上port9、port11的双绞线，过一段时间观测，设备又有上述问题。当地信息中心工程师得出结论是，Flex5010只能下接8个交换机，如果在任意端口下加挂一台交换机的话，就会出现问题：设备down，不能远程登陆，用户不能上网。

出现上述情况只有两种可行性：一是Flex5010交换机设备本身有问题，二是交换机下挂交换机用户有病毒。后联系港湾工程师，反映设备出现问题的概率很小，建议抓包看看是否有病毒。

在Flex5010上，做端口镜像，用sniffer pro进行抓包分析：

启用镜像组1，将交换机端口23作为监控端口，下接装有sniffer pro软件的pc。

    Harbour(config)#config mirroriing 1 to 23
    24口为上行口，添加被镜像端口24
    Harbour(config)#config mirroring 1 add port 24 egress (出端口的数据流
    Harbour(config)#config mirroring 1 add port 24 inress（入端口的数据流）

在端口23接一台装有sniffer pro软件的电脑上面，抓包如下图：

    通过上图可以看出，ip地址为10.98.21.30的pc向外发送了大量目的端口为139帧长为66字节的数据包。很明显，这是冲击波病毒在作怪。冲击波（Worm.Blaster）病毒2003年8月12日全球爆发，该病毒由于是利用系统漏洞进行传播，没有打补丁的电脑用户都会感染该病毒，从而使电脑出现系统重启、无法正常上网等现象。冲击波（Worm.Blaster）病毒利用的是系统的RPC DCOM漏洞，监听端口69,模拟出一个TFTP服务器，并启动一个攻击传播线程,不断地随机生成攻击地址，尝试用有RPC漏洞的135、139端口进行传播，病毒攻击系统时会使RPC服务崩溃。