考试网 >> IT认证 >> 思科 >> Cisco指导 >> 巧用排除法进行网络中故障的排除

发布时间：2006-06-28 06:31     点击：

　　3）故障类型

　　

　　由于防火墙的工作机理使得在网络中被攻击对象一般是具有默认路由选择的防火墙，根据故障表现、防火墙的信息和分析，我们初步判定为内部攻击防火墙，是A网络里用户在攻击防火墙PIX1，转至B网络出口该用户又攻击防火墙PIX2，导致外网的阻断。

　　

　　该次攻击可能是某个用户安装黑客软件恶意攻击防火墙，也可能是该用户无意中安装了或感染了非法的木马程序导致了攻击的发生，而且该攻击具有很大的欺骗性，该用户将源地址转换成不断变化的外部公用IP，而且TCP变为HTTP占用的80端口，使得我们无从下手。

　　

用排除法解决故障

　　

　　为了保证用户的利益，必须在最短的时间内查出故障源，同时影响范围要尽可能小。由于攻击有很大的欺骗性，从获得的信息我们不能得知攻击源的具体位置和网段，因此我们采用逐步排除法由大到小查找攻击源，而且在解决过程中考虑系统的可操作性和OSPF的收敛对网络系统构成的影响。

　　

　　1．排查核心路由器以外的网络

　　

　　进入Router1，将Router1中连接A网络和B网络的端口关闭，PIX1中仍旧有以上信息出现，因此我们打开该接口。再在Router1里将Router1和Router3的接口关闭，发现攻击仍然没有停止。因此我们判定攻击源不在Router1以外的用户。

　　

　　2．排查Router 4、Router 5上的用户

　　

　　进入核心Switch1，关闭Switch1与Router 4、Router 5的接口，发现问题还存在。经过以上操作，范围进一步缩小，攻击源确定在Switch1和Switch2自带的用户上，由于防火墙挂在Switch1上，因此我们先排除Switch2的用户。

　　

　　3．排查核心Switch2上的用户

　　

　　先进入Switch1和Router 1，采用扎口袋的办法将它们与Switch2的接口关闭，打破自愈环，造成Switch2独立成网络，这时发现防火墙工作正常，故障现象消失，用户能正常上Internet。因此初步判定攻击源是Switch2上的用户，但是具体网段还需要进一步的判定。

　　

　　4．进一步排查具体网段和单机

　　

　　1）超级终端进入核心Switch2，先将它上面的所有业务和用户接口全部关闭，再远程进入核心Switch1和Router 1打开它们与核心Switch2的接口。

发表评论： 匿名发表 用户名: 查看评论

您将承担一切因您的行为、言论而直接或间接导致的民事或刑事法律责任 留言板管理人员有权保留或删除其管辖留言中的任意内容 本站提醒：不要进行人身攻击。谢谢配合。