考试网 >> IT认证 >> 思科 >> Cisco指导 >> 巧用排除法进行网络中故障的排除

发布时间：2006-06-28 06:31     点击：

　　

　　2 √ Error 内核事件 从117.75.118.170(551)到 SYSTEM 21:03

　　69.56.141.67(80)的TCP包

　　未找到相应的连接

　　

　　3 √ Error 内核事件 从118.149.67.172(39)到 SYSTEM 21:03

　　69.56.141.67(80)的TCP包

　　未找到相应的连接

　　

　　进入防火墙安全控制台，调出生成的NAT记录全部如下:

　　

　　nat.c[2839] 164.30.123.28(715) -> 69.56.141.67(80) TCP not NAT

　　nat.c[2839] 65.135.150.204(379) -> 69.56.141.67(80) TCP not NAT

　　nat.c[2839] 62.161.122.93(259) -> 69.56.141.67(80) TCP not NAT

　　

　　…………

　　该类记录一直出现 ，同时显示防火墙资源耗尽。

　　

　　故障分析

　　

　　1）常规经验

　　

　　根据我们的经验，冲击波或震荡波等网络病毒发作攻击防火墙时一般不带隐蔽性，通过防火墙的审计系统和部署的防病毒服务器可以查出病毒源头的IP或占用的TCP端口，在系统里通过Router和三层Switch的ACL将源IP和所占用的TCP端口封闭然后再找源IP即可解决问题。

　　

　　2）故障表现

　　

　　这次故障从整个系统来看，交换机、路由器、防病毒服务器的所有记录没有显示出有大规模的病毒发作，因此我们排除了是病毒发作的可能性。

　　

　　从防火墙的信息可以看出，整个防火墙的内核事件全部为：

　　

　　“从119.206.107.154(351)到69.56.141.67(80)的TCP包未找到相应的连接”，NAT记录也显示了同样的信息，源IP和源TCP端口在不断地变化，源IP为外部地址，目标IP也是外部地址，目标TCP为80端口，整个故障现象给人的感觉不像网络病毒发作，更不像通常的冲击波蠕虫病毒和震荡波蠕虫病毒，而且将A网络的出口一转至B网络上就导致B网络上Internet不正常。

　　

发表评论： 匿名发表 用户名: 查看评论

您将承担一切因您的行为、言论而直接或间接导致的民事或刑事法律责任 留言板管理人员有权保留或删除其管辖留言中的任意内容 本站提醒：不要进行人身攻击。谢谢配合。