校园网络总结报告

- 信息职业技术学院校园网络故障应急方案2012-2013学年 第一学期系别： 计算机(软件)学院 专业： 计算机网络与平安管理班 级： 平安111 学 生 姓 名： 平 学 生 学 号：1108093112 设计论文题目： 校园网络故障应急方案 实 训 日 期： 第三周-第四周 信息职业技术学院目 录一、校园网络现状-31、校园网络拓扑图-32、构造描述-3二、常见的校园问题管理员的思路及想-41.故障排除一般思路2.各类常见问题：宽带故障、无线宽带排除、光纤故障排除三、 校园网络问题解决方案-5（一） 校园一般问题-9二网络嗅探工具sniffer的安装-15三sniffer监控arp欺骗-191、arp欺骗的简介-192、利用sniffer监控arp欺骗-19四使用Sniffer-Pro对蠕虫病毒进展流量分析-221、 蠕虫简介-222、使用Sniffer-Pro对蠕虫病毒进展流量分析过程-22五：sniffer的使用-271、sniffer pro的简介- 272、sniffer使用- 27六)：sniffer监控播送风暴-321、播送风暴的简介-322、利用sniffer监控播送风暴过程-32四、总结-34一、校园网络1、校园网络拓扑图2、校园网络构造描述校园网的设计目标简而言之是将各种不同应用的信息资源通过高性能的网络设备相互连接起来，形成校园区部的Intranet系统，对外通过路由设备接入广域网。具体而言这样的设计目标应该是：建立一个以办公自动化、计算机辅助教学、现代计算机校园文化为核心，以现代网络技术为依托、技术先进、扩展性强、覆盖全校主要楼宇的校园主干网络，将学校的各种PC机工作站、终端设备和局域网连接起来，并与有关广域网相连；在网上宣传和获取教育资源；在此根底上建立能满足教学、科研和管理工作需要的软、硬件环境；开发各类信息库和应用系统，为学校各类人员提供充分的网络信息效劳；系统总体设计本着总体规划、分布实施的原那么，充分表达系统的技术先进性、高度的平安可靠性、良好的开放性、可扩展性，以及建立经济性。 二、常见的校园问题管理员的思路及想法故障排除一般思路收集信息信息收集途径：向受影响的用户、网络人员或其他关键人员提出问题最初的收集到的关于某种故障的大多数信息都是来自用户。如果仅凭用户对故障现象的描述，有时并不能得出结论。这时就需要网管员亲自操作运行一下导致故障的程序，并注意相关的出错信息。用户提出他的电脑不能上网，假设故障界定到与用户使用的工作站有关，但还是有许多具体信息需要收集。界定故障现象解决网络故障的一般步骤：1. 连通性问题：比方硬件、媒介、电源故障；配置错误；设备兼容性问题。2.性能问题：网络拥塞；到目的地不是最正确路由；供电缺乏；路由环路；网络不稳定。排查方法诊断问题的常用三个方法：试错法、参照法、替换法实施方案前面4个步骤的顺利进展，在方案的实施阶段就会相对容易。比方在局域网中与互联网相连的路由器发生了故障，在实施安装路由器的同时，在关键点处同样要进展测试，步骤如下：1) 配置路由器。2) 使用Ping工具测试每个接口，以确定这是唯一的操作。3) 将路由器与网络的其它局部相连接。4) 使用Ping工具测试，确保网络中所有部件的连接方确。5) 使用Trace程序来确定网络路径。6) 确定在工作站上通过Ping工具可以访问路由器接口。7) 确定从工作站可以访问互联网络。6. 测试解决效果可以运用一些软件来解决此类问题详细做好解决问题经历总结，为下次解决问题作出充分经历。7.总结故障排除过程文档化1) 故障现象描述及收集的相关信息；2) 网络拓扑图绘制；3) 网络中使用的设备清单和介质清单；4) 网络中使用的协议清单和应用清单；二：各类常见问题宽带故障排除宽带故障现象A:ADSL故障:1、不能上网，不能打。 2、能打，不能上网。 3、能上网，但上网速度慢。 4、上网不稳定，经常断线。 5、其他。除上述四种故障外的其他故障现象，如可上网，但不能打；能上网，但有杂音等ADSL连接成功后应用受影响，ADSL连接成功后应用受影响：上网常断线、网速慢、连接成功但所有网页打不开、局部无法浏览或网页打不开、局部应用不能使用(QQ聊天、股票证券公司、播放器、电影卡、业务应用 LAN连接成功后应用受影响1) 上网常断线2) 网速慢3) 连接成功但所有网页打不开4) 局部网页无法浏览或打不开5) 视频点播、语音聊天等局部业务不能使用1. ADSL故障处理流程2影响故障的因素分类1) 接入设备上层故障DSLAM设备以上2) 线路故障3) 硬件故障(主要是ADSLModem或网卡)4) 软件故障5) 其它因素2.2故障处理的根本流程步骤一：首先查看客户端是否安装、打是否正常，步骤二：检查MODEM的信号灯是否正常，步骤三：重启电脑和MODEM，看故障是否依然存在，步骤四：根据错误提示进入相应处理流程，DHCP和PPPOE认证方式分别有不同的错误提示,下面我们首先看DHCP认证方式的错误提示：检查网卡是否错误、网线是否插好、登录名密码是否错误等。ADSL客户上网常断线处理流程无线宽带排除移动无线宽带：1. 故障处理一般流程：2. 故障处理的一般思路：1) 检查物理连接2) 检查用户终端网卡属性设置3) 检查数据配置4) 根据具体业务和故障进展针对性的处理3. 几种常见故障的处理方法：现象：有信号。但是总出现受限制或无连接1检查在管理平台的业务VLAN 配置是否正确2如果有条件可以把接入交换机单独做出一个业务VLAN的端口看是否可以弹出认证页面。关于AP 经常上线下线的问题，从以下几点排查：1) 查看网线问题。2) 通过AC ping AP 看是否有明显的延迟和丢包。3) 观察AP 在管理平台是否有关联分组。4) 查看DHCP 地址池是否问题。5) 查看供电是否有问题。6) 查看传输设备是否有问题。7) 查看中间数据配置是否有问题。是否有环路。4AP 无法加电或不能正常运行。一般来讲POE 交换机给AP供电尽量不要超过70米，另外AP所连接的天线端要注意不可以带电，如果带电表示有短路，或者合路器接错。5AP连接用户和吞吐量不够。尽量减少同频干扰。优化好信道。尽量只使用11G 射频模式。另外网速比拟慢也许是业务VLAN 的问题。建议同一业务VLAN用户控制在100左右。电信无线宽带：1. 无线宽带业务三种无线上网方式无线宽带(WLAN)接入无线宽带(3G网络接入无线宽带(1X)网络接入客户端管理2. 无线宽带故障处理流程无线宽带故障处理流程WLAN10000号预处理：接入方式鉴别 1X、3G、WLAN、C+W用户终端鉴别 是否支持并开通EVDO或1X，信号强弱度用户是否正确设置驱动是否正确安装是否欠费或者已销户分公司网维预处理：3. 故障原因及现象分类手机问题：1.驱动未正确安装或者硬件已损坏2.UIM卡损坏或被锁，需要更换或解锁3.使用终端不正确，只支持行货终端4.PC安装了防火墙等网络防护平安软件5.某些网页不能翻开，路由或防火墙设置问题6.批量用户报障，某个网元异常7.预付费用户在OCS平台余额被结冻8.预付费用户因配额和门限值配置问题经常断线9.WAP平台异常，用户不能使用手机上网PC问题PC不带无线局域网上网卡无线局域网上网卡已配置静态地址，需要设置为动态获取防火墙冲突，无法浏览网页某些型号的AP与无线上网卡适配出现问题，导致终端无法获取地址或者翻开网页慢某些BAS配置不正确光纤故障排除1. 故障检测流程图2. 光纤布线的故障排除1) 判断故障类型：断路，衰减过大2) 常用的检测工具三、 校园网络问题解决方案一、校园一般问题：一、宿舍端口或网卡问题1、连接时显示初始化网卡信息失败解决方法：有可能是网卡被禁用了，翻开在控制面板网络连接本地连接，把网卡启用，如果不是被网卡禁用，一般是重装网卡驱动就可以了，如果是独立网卡，可以把网卡拔出来重新插进去或者换一个PCI插槽一般都可以的了，还不行的话，重新安装认证软件，再不行就尝试系统重装3、本地连接打X，有可能是网卡设置了全双工，但由于不支持全双工，导致打X解决方法：改为半双工即可4、无法上网，客户端软件提示找不到可用的网卡解决方法：1如果是用旧的认证软件尽量不要选择客户端软件随系统自动启动；2查看设备管理器中是否有你的以太网网卡，其安装是否正确，是否启用；3尝试更新网卡驱动程序。4如果是比拟旧的电脑，可以采用把网卡拔出来后用橡皮擦檫干净其根脚重新插入或插入另外一个PCI插槽看看。5、直接把电脑网卡用网线接到宿舍端口，显示没有接上 故障原因：端口还没有开通 解决方法：网上报修，联系网管开通6、宿舍端口坏了或者有问题了，上不了网，要换的。解决方法： 网上报修，请联系网管来更换二、认证失败一、认证失败，用户如果掌握这些知识可以自己解决的1、重装系统后上不了网 IP其他都正确,但不知道为什么就是验证通不过,上不了网，老是认证失败故障原因：一般可能是认证模式选错了。解决方法：一旦遇到认证失败，首先应该看看自己认证模式有没有选择正确，步骤是：双击认证软件设置认证模式设置选择：使用Ruijie私有组播地址发送认证请求2、认证显示用户名或密码出错，上不了网解决方法：自己填写错误故要查看自己有没有填错，假设自己改了认证密码后忘记密码，可以叫网管帮自己再改成自己容易记的认证软件，有时是学校效劳器数据更新中概率很少3、无法上网，客户端软件一直停留在正在验证用户名和密码，怎么办？说明认证效劳器忙，请耐心多试几次，假设长时间不成功可能是认证效劳器的问题，此时请报网络中心。4、网线接触不良 解决方法：拔出又插入网线，可以试试把网线插到另外一个其他的宿舍集线器或交换机端口5、用宿舍其他可以上网的同学的网线插到自己电脑上就可以上网，用自己的就不可以上网故障原因：网线有问题解决方法：不用更换网线的，只要更换水晶头就可以了，到图书馆一楼或北区饭堂有网线卖的店铺那里可以换，约1.5元两个水晶头，她们会安装好那水晶头的。6、交换机使用过久发烫得很厉害，整个宿舍上不了网故障原因：交换机负载过重或使用过久，使其性能暂时下降解决方法：把交换机重启就可以了 7、认证软件无法运行解决方法：先把认证软件卸载后重新安装认证软件8、客户端无法认证成功，提示用户处于开户状态，请先激活的故障？ 故障原因：处于开户状态，无法使用。 解决方法：请耐心等待网管人员激活账号，一般来说3个工作日开通。9、认证软件常和系统环境冲突解决方法：可能是中毒了注意杀毒，其实很多安装瑞星杀毒的用户会偶尔遇到这种情况，把瑞星卸载换上更新的版本就可以，或者最好是换上其他的杀毒软件如金山毒霸、江民、卡巴斯基等10、客户端提示目前系统工作环境与软件运行环境相冲突,软件不能正常运行CODE2 故障原因：安装了多块网卡，和效劳器要求的不符合 解决方法：卸载或者禁用多余网卡，只保存一网卡运行如果是win98系统，禁用拨号适配器。11、客户端提示目前系统工作环境与软件运行环境相冲突,软件不能正常运行CODE4 故障原因：安装了代理效劳器，和效劳器要求的不符合 解决方法：关闭或卸载代理效劳器以及一切可能成为代理效劳器的软件比方自己建立的SMTP效劳器，FTP文件下载效劳器，如果不删除可以认证成功，自己不想删除可以不删除等。12、上网时显示IP冲突解决方法：乱改IP造成的，检查自己的iP是否填错，如果时其他用户填错，请在网上报修时说明，以便网管调查和解决。13、全宿舍上不了网 解决方法：集线器或交换机没有接好，检查并接好就可以了14、IP地址绑定错误解决方法：这类问题一般都是自己填写IP时由于不注意填错的，检查并改正就可以了15、可以认证，但收不到包解决方法：有一种原因是因为把网关填错了，但是可以认证却上不了网，故把网关地址改正就可以了16、无法上网，客户端软件一直停留在正在寻找认证效劳器，怎么办？说明本机到认证效劳器之间网络不通，可能的原因包括设置问题、网卡故障、线路故障、端口故障以及本网段故障等，用穿插替换的方法判断问题所在并制定解决方法。其中，网卡与网线故障自行解决；客户端设置请严格按照客户端配置方式来配置；确为端口物理故障的报给网络中心用户室；需要着重说明的是本网段存在特定病毒或者有人私开DHCP效劳时也会产生上述现象，假设本网段通常为相邻的寝室所有机器都有此现象，可判断为本网段接入交换机故障或存在病毒，可报网络中心；假设本机在未进展认证时可自动获取到以192.168开头的IP查看方法是命令行方式下输入ipconfig那么可判断为本网段有人私开DHCP效劳，此种情况请记下网关MAC地址报网络中心运行值班室，方法是命令行方式下输入arp a。17、用户无法通过认证，提示信息设备端强制用户下线。 故障原因：设备断电或者故障。解决方法：先退出客户端再重新认证，如果还出现一样提示，可以到隔壁宿舍确认他们是否出现同样问题，如果相邻宿舍多个人都无法认证，请及时通知网络中心检查设备问题。18、网卡的网络连接显示处显示黄色感慨号，认证客户端不能登录，显示信息：网络受限或无连接。 故障原因：网络配置不正确，网络连接使用的是原来的Adsl连接或者无法获取到正确地址。解决方法：删掉原来的adsl网络连接，翻开浏览器internet选项连接拨号和虚拟专用网络设置，选中宽带连接然后选删除确定，重新建立新的本地连接19、客户端提示找不到适宜的网卡 故障原因：系统没有正确获得网卡信息，或者网卡有问题 解决方法：退出并重新翻开客户端，如果问题依旧存在，请将网卡驱动程序卸载重装，如果是独立网卡的电脑，可以把网卡拔出后重新插入其他PCI插槽，如果还是不能解决问题，购置一网卡。20、认证失败，没有任何错误提示 故障原因：WINXP用户启用了系统自带的802.1X认证 解决方法：1双击网络连接图标，把属性里面的身份验证标签下启用802.1X身份认证前的勾去掉。2卸载任何第三方网卡加速软件 如nvidia net mangermant用nvidia网卡芯片的同学常出现此问题。21、认证失败，提示已到达最接数 有两种情况会导致上述情况发生： 1学生的、IP、MAC被盗用。当此在线时，其他人用此认证。因为系统同时只允许一个认证现在少见，因为现在学生、IP、MAC、端口已经绑定。 2用户非正常下线后，认证计费系统的在线表中还有该用户的信息，例如用户、IP、MAC、交换机IP、交换机端口等。如果此用户再次认证，发现在线用户表中有该用户的信息，认证计费系统将验证用户上传上来的信息和在线用户表进展匹配，如果不完全一样例如用户更换交换机端口等，认证计费系统将认为此用户是非法用户，提示到达用户数量上线。 解决方法：在认证计费系统的在线用户表中将该用户强制下线。请用户速与网络中心联系。22、无法认证，提示网卡未连接上 故障原因：网线连接不正确，网线质量差，自己安装的小交换机质量差，交换机柜停电 解决方法：检查网线是否正常，自己安装的小交换机是否正常，确认本楼交换机柜是否停电。23、无法认证，认证客户端停顿在：寻找认证效劳器。连接认证效劳器 正在认证 故障原因：网线质量差，或者网卡有问题，或者没有选择使用私有组播地址认证 解决方法：检查网线是否正常，在认证客户端中设置使用私有组播地址认证，重装网卡驱动程序，如果问题依旧存在，更换一网卡。22、无法认证，认证客户端停顿在：连接认证效劳器。故障原因：提供效劳的接入交换机到网管中心的效劳器通信不正常，可能是自身网线问题，可以尝试用同宿舍可以上网同学的网线，可能是某台交换机或者网管中心阻塞或停电 解决方法：假设某台交换机或者网管中心阻塞或停电，将此现象通知网管中心，并耐心等待。23、客户端提示认证失败，提示IP类型错误的故障？ 故障原因：认证效劳器没有获得IP地址信息。 解决方法：在本地连接属性里面正确填写IP地址，如果还是不能解决，请将网卡驱动程序卸载重装一次24、客户端无法认证成功，提示客户端版本过低的故障？ 故障原因：您使用了低版本的客户端认证软件。 解决方法：到校园网软件园地下载最新版认证软件25、客户端无法认证成功，提示未使用锐捷客户端的故障？ 故障原因：未使用锐捷公司提供的客户端认证程序。 解决方法：请使用最新版本的锐捷客户端程序。26、客户端无法认证成功，提示用户被暂停，请先恢复的故障？ 故障原因：由于中病毒影响校园网其他用户的上网，或未被允许扫描网络，被教师暂停。 故障方法：如果是中arp病毒，应先重装系统后马上杀毒，然后就告诉网管，重新恢复。27、客户端无法认证成功，客户端程序运行时报：*.dll文件丧失或出现类似该应用程序调用存*,该存不能为只读，的故障？ 故障原因：系统文件丧失；存调用错误，多为win98系统。 解决方法：重装客户端程序；重装网卡驱动；必要时重装操作系统。29、客户端无法安装，报*X安装核出错的故障？ 故障原因：操作系统问题，多为win98系统。 解决方法：优化操作系统，尤其为反安装信息；中止不必要的进程；必要时重装系统。30、网络上有重名 故障原因：计算机名和连接在网络上的计算机同名。 解决方法：修改计算机名可以解决我的电脑属性计算机名更改。二认证失败，这类可以请网管才能解决的32、MAC绑定错误解决方法：只需要网管解除绑定就可以了。进入广师网络效劳系统里，查询到相应的用户，点击其用户查看详细资料然后选修改最后点左边的菜单更新认证数据33、接入效劳器地址错误解决方法：解除绑定，即：进入广师网络效劳系统里，查询到相应的用户，点击其用户查看详细资料然后选修改最后点左边的菜单更新认证数据34、换了新电脑，麻烦帮助改一下物理地址解决方法：把自己换了新的电脑物理地址在网上报修时顺便写上，这样网管一看到就会马上帮你修改，修改后马上可以上网了35、自从昨晚的雷声之后，全宿舍的就上不了网了！解决方法：交换机端口被雷打了，网上报修或联系网管重启交换机36.连接时，弹出对话框没有接上，是否继续，但是看到本地连接显示已连接，看本地连接收发数据包处，接收数据包为零，在查看认证软件，双击认证后，点设置效劳器参数，发现两个DNS都为0，IE代理过滤显示为error最近更新第一条故障原因：这种情况很少出现，但是偶尔也会出现，一般出现在使用3.02版本的认证软件用户上解决方法：把认证软件重新安装一次就可以，也可以到3.10版。37. 为什么安装视频后会跟认证软件有冲突？如果强制性安装的话认证软件会突然掉线，然后显示跟视频有冲突，要卸掉视频后才能上网，有几个同学的都是这样子，为什么？有谁可以解答一下？解决方法：你安装视频软件,再装校园网的，如果已经安装了校园网软件，就把校园网软件先卸载了然后装视频的驱程,再装校园网三、能认证成功，但上网还是有问题1、但是上不了网 ，甚至还可以上Q，但是翻开网页时，上不了故障原因：一般是网关或DNS 效劳器地址填错了，或者学校的NDS效劳器出问题了解决方法：1网上邻居右键属性本地连接右键属性TCP/IP属性 查看自己的I P地址里面网关地址有没有填错，如果有把它调整过来就可以了如果忘记可以查看同宿舍其他同学的，一个宿舍的同学，一般都是IP地址不一样，其他地址都一样的2，首先看周围其他同学是否有同样问题，假设都有一样的问题可断定为DNS效劳器故障，学校的DNS出问题，我们可以用其他教育网的DNS也是可以的，如：202.126.160.33等，只要DNS效劳器地址改正来就可以了，当学校的DNS好了再改正成学校的，因为用自己学校的，距离近些上网一般会快些。3如果其他同学都没有这个问题，请取消本机的代理效劳器设置IE工具Internet 选项连接局域网设置，检查防火墙设置、浏览器设置等。2、经常断网 如：刚开场可以上,不到一分钟就断几次了 故障原因：中arp毒解决方法：大家可以到校园网软件园地下载arp防火墙，连网前双击arp防火墙，最好把arp防火墙设置成开机自动启动即把arp防火墙一直拖到开场程序启动，以后电脑一开机就会马上启动它了3、网速超慢 如：宿舍几乎上不了网，网络几乎瘫痪。网速超慢！解决方法：经调查发现，出现网速超慢的宿舍，一般都是使用集线器的，建议这些宿舍更换成交换机，交换机性能比集线器好很多快很多，并且价格也很廉价了，与集线器相差无几。也有可能学校核心交换机应付CPU使用率很高了，导致联网慢。4、用不了IE翻开网页，QQ上不了，学校网的电影也打不开来看，但用腾讯TT就打得开网页，FTP也可以用。中解决方法：中毒，杀毒、用超级兔子修复IE、其实不一定用IE上网的，腾讯TT其实不错的，还有遨游、The World 、火狐等浏览器都相当好用，校园网软件园地有下载，欢送下载。四、IP问题1、用户ip不匹配，但我已经看过了没有错！解决方法：IP自己记错,改了就行了2、IP地址与网络上的其他系统有冲突 如 时常会弹出消息IP地址与网络上其它的有冲突 有时是在刚开机的时候.有时就在翻开网页的时候.故障原因：其它宿舍乱改IP造成的，解决方法：叫网管查到，叫乱改IP的同学改正就可以了，不过现在为了防止这种情况，学校认证系统是将用户的MAC、IP都和宿舍端口绑定的了，这种情况很少出现的了。 3、IP地址与网络上的其他系统有冲突，解决方法：有时是因为装了虚拟机VWare软件等，解决方法是将其它的禁用掉！4、.有时本地连接显示正在获取网络地址，导致上不了网解决方法：可以将启用此网络的 IEEE 802.1x 验证(E)前面的勾去掉5、IP已分配给另一适配器 故障原因：网卡换了插槽或更换了新网卡。 解决方法：重新安装TCP/IP协议即可解决6、我在Windows下装Vmware被锐捷检测到多网卡，怎么办？ A：由于本客户端没有windows的版本，所以请参照4里面后半部的方法维护自己的权益。不过最好希望你能够安装Linux/FreeBSD系统，然后选择一个可以让你上网又对你没有限制的软件。最近我们学校大量的学生因为锐捷的客户端导致不能安装VMware，严重影响学校正常的教学方案。这是锐捷公司锐捷认证软件的问题，当你安装了VWare，但又要认证上网时，可以先把VWare里面的网卡先禁用就可以了，到使用VWare的网卡时才把它启用。五、看不了电影1、播放器安装问题 ，明明安装了确然播放器，却提示没有安装，进不了影视天地解决方法：注意安装路径中不能有中文，因为这播放器不支持中文路径，这些同学都是把确然播放器安装到自己创立的中文文件夹里面，导致进不了影视天地看电影2、正确安装了播放器，并且本来是还可以看电影的，突然开机就看不了电影了解决方法：可能IE中病毒，可以用超级兔子软件修复IE，反复修复几次就可以了3、看不了电影，显示无法翻开文件之类的解决方法：很多时候是因为装了瑞星防火墙，把TruePlayer(看电影的播放器)那个播放器制止掉了， 把瑞星防火墙删掉，换天网防火墙。4、没有影币，看不了电影 解决方法：到论坛发贴回帖，换取金币等，然后换成5、影币没拉，还是负数的解决方法：这种情况可叫网络中心教师给影币，呵呵六、其他网络应用问题1、翻开学校主页，左边的菜单不见了，右边的滚动公告栏变成了直接全部罗列的一条栏，整个主页变成很长，十分不美观、使用起来很不方便。故障原因：IE中毒或有文件丧失解决方法：用超级兔子，对IE进展全面修复几次就可以了。 解决网络问题的一般步骤1.先查看认证软件的认证模式是否填写选择了Star私有组播发送认证请求，查看IP是否错误2.ping 127.0.0.1 ，查看电脑的TCP/IP协议地址是否安装好，如果否，那么重新安装TCP/IP协议3.ping 网关地址，看看其是否能ping通 如果不能，可以就是问题出现在其宿舍部的问题，如果网线接触不好， 网线有问题，交换机接触不良，arp攻击等等。 如果能ping通但上不了网，可能是学校DNS效劳器出故障，或者arp病毒攻击。 4.ping 202.192.72.33 如果不能ping通，可能是学校DNS效劳器出故障，那么可以用教育网其他的DNS地址，也可以上网。 如果能ping通，还是上不了网，有可能是网线有问题。 二、网络嗅探工具sniffer的安装sniffer软件的安装1、翻开sniffer安装程序2、单击：Next 进入下一步， 安装程序自动进展3、单击Next； Name , pany 随便输入一些英文字母4、选择安装路径5、单击next 继续安装6、带星号的随便输入一些英文字母不能是汉字，有些有选择的随便选择一个， 用正确的格式，继续单击下一步7、Phone 和 fox number 用纯数字， 其他的随便输入一些英文字母， 有选择的随便选择一个，继续单击下一步；8、复制cd- key, 粘贴到sniffer serial number, 其他的随便选择， 单击下一步；9、 这一步我们选择不要连接， 继续单击下一步10、单击完成， 根本完成sniffer 安装过程；11、默认单击finish12、不需要查看sniffer 文件， 继续单击finish13、选择重新启动计算机， sniffer 才能识别网卡， 单击finish, sniffer 安装过程完成。三、ARP攻击的诊断与防ARP欺骗介绍与发生的现象 3.1 ARP简介：ARP，即地址解析协议，实现通过IP地址得知其物理地址。在TCP/IP网络环境下，每个主机都分配了一个32位的IP地址，这种互联网地址是在网际围标识主机的一种逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。这样就存在把IP地址变换成物理地址的地址转换问题。以以太网环境为例，为了正确地向目的主机传送报文，必须把目的主机的32位IP地址转换成为48位以太网的地址。这就需要在互连层有一组效劳将IP地址转换为相应物理地址，这组协议就是ARP协议。 ARP欺骗：假设一个网络环境中，网有三台主机，分别为主机A、B、C。由于局域网的网络流通不是根据IP地址进展，而是按照MAC地址进展传输。所以，那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址，这样就会造成网络不通，导致不能A Ping C通。当网速变得很慢，局部机能正常上网，但也会偶尔出现连续几个掉包现象，大局部机器不能正常上网，出现了严重的连续的掉包现象，过一段时间又能自动连上，ping网关，time 在波动比拟大。 这很有可能是有人用ARP协议攻击网关。用sniffer软件监测ARP欺骗步骤一：在一台思科的交换机上做镜像端口，在思科交换机配置如下：cisco enable cisco# configure terminal cisco(config)# no monitor session all cisco(config)# monitor session 2 source interface fastEthernet 0/2 - 24 cisco(config)# monitor session 2 destination interface fastEthernet 0/1 cisco(config)# end cisco# show monitor session 2 cisco# show running-config cisco# copy running-config startup-config 步骤二：在做了端口镜像的机器上启动sniffer程序。单击按钮，定义过滤器，在弹出的define Filter对话框Profiles新建一个过滤器，这里取名为liuping,并单击ok。如上图显示：在Default 右边单击 ，选择liuping，如下列图所示：,鼠标点击工具栏中Host Table按钮，在弹出的子窗口中选择Detail工具。现在，按照定义，监视器Protocol(协议类型)仅包括IP_ARP.这对于我们查找问题这里的Address地址以IP或者机器名的形式显示，如果显示MAC，请先使用ToolsAddress book进展扫描，IP-MAC的显示转换。如下列图所示：正常的情况broadcasts/s维持在比拟低的水平，如果发现某个时间段以来broadcasts/s居高不下，就应该引起足够的中重视.网存在ARP欺骗情况时流量排行图1. TOP1 占据网最大ARP流量。2.TOP2中的流量急速增大且与TOP3差距悬殊。当219.238.*.111的回应也就是单播数量大于ARP请求播送的数量将可能出现ARP总流量大于Broadcast的情况，当节点出现ARP欺骗时，它会向网ARP reply。节点219.238.*.111的traffic map 几乎与网所有节点都有ARP通信。且对于网关通信数据量最大。四、利用sniffer对蠕虫病毒的分析蠕虫病毒简介蠕虫病毒是自包含的程序 (或是一套程序),它能传播它自身功能的拷贝或它的某些局部到其他的计算机系统中(通常是经过网络连接)。请注意，与一般病毒不同，蠕虫不需要将其自身附着到宿主程序，有两种类型的蠕虫：主机蠕虫与网络蠕虫。主计算机蠕虫完全包含在它们运行的计算机中，并且使用网络的连接仅将自身拷贝到其他的计算机中，主计算机蠕虫在将其自身的拷贝参加到另外的主机后，就会终止它自身(因此在任意给定的时刻，只有一个蠕虫的拷贝运行)，这种蠕虫有时也叫野兔，蠕虫病毒一般是通过1434端口漏洞传播。蠕虫病毒流量分析原理：Sniffer软件可以监视网络的状态、数据流动情况以及网络上传输的信息并把产生流 量最多的协议HTTP协议的网络流量过滤出来加以分析。找出最大流量的主机网络中的流量月大对网络中的影响越大。因此我们分析时要先对流量较大的主机进展分析。使用sniffer软件的host table功能对计算机数据包进展排序通过Host Table，可以分析每台计算机的流量情况，有些异常的网络流量可以直接在Host Table上直接能看出来，排在发包数量前列的IP地址,从网络收到的数据包数是0，但其向网络发出的数据包是很多个，这对HTTP协议来说显然是不正常的，HTTP协议是基于TCP的协议，是有连接的，不可能是光发不收的，一般来说光发包不收包是种类似于播送的应用，UDP这种非连接的协议有可能。分析这些主机的网络流量对该IP地址的主机产生的网络流量进展过滤，然后查看其网络流量的流向，下面是用Sniffer的Matrix看到的其发包目标。从图中我们发现许多主机都是光发送数据包但是却没有承受到数据包如：22.96.76.155一样。由于HTTP协议基于TCP/IP协议，所以此现象不正常同样，我们可以清楚的发现IP地址存在同样的问题：IP地址发包数量收包数量22.96.76.155300021.211.36.252221022.57.1.119189022.11.134.721470分析不正常主机的流量首先对IP为22.96.76.155的主机井陉网络流量的过滤，查看其目标。下列图为sniffer软件的Matrix选项卡，可看其发包目标。通过以上可发现，数据包都是SYN包，且主机试图与许多的计算机进展两节，但都没收到恢复，且目标主机非常多，发送间隔短。明显不是人为发出。因此断定该计算机数据流量为不正常的数据。很可能感染了病毒，因此可进一步对其进展分析。来确定所感染的病毒使用Decode选项卡进进展数据包的进一步分析。可较为直观的发现异常数据包的行为从Sniffer的解码中我们可以看出，该主机发出的所有的数据包都是HTTP的SYN包(80端口可以看出来)，SYN包是主机要发起TCP连接时发出的数据包，也就是该主机试图同网络中非常多的主机建立HTTP连接，但没有得到任何回应，这些目标主机IP地址非常广泛可以认为是随机产生的，且根本不是HTTP效劳器，而且发出这些包的时间间隔非常短，为毫秒级，应该不是人为发出的。通过以上的分析，能够非常肯定的断定，该IP地址的主机产生的网络流量肯定是异常网络流量。该主机发出的网络流量是某种软件自动发出的，很可能是感染了某种采用HTTP协议传播的病毒，不断在网络中寻找HTTP效劳器，从而进展传播。正是由于大量感染病毒的计算机不断向网络中发送数据包，而且是小数据包，使网络的效率非常低，大大影响网络的性能，并导致业务应用的无常运行，给用户带来很大损失。采用协议分析的方法，能非常直观且快速的发现这些计算机，帮助网络管理人员快速确定并解决问题。五、Sniffer软件使用Sniffer 简介Sniffer Pro是一款一流的便携式网管和应用故障诊断分析软件，Sniffer Portable Pro具备最优秀的网络和应用性能故障诊断功能。不管是在有线网络还是在无线网络中，它都能够给予网管管理人员实时的网络监视、数据包捕获以及故障诊断分析能力。对于在现场迚行快速的网络和应用问题故障诊断，基于便携式软件的解决方案具备最高的性价比，却能够让用户获得强大的网管和应用故障诊断功能。实训操作：捕获数据通过Sniffer进展网络和协议分析，需要先捕获网络中的数据。默认状态下，由于Sniffer没有进展过滤设置，会捕获网络中所有数据。（1) 单击工具栏上的按钮，或依次选择Capture-tare选项，显示Expert窗口，Sniffer开场捕获的各种数据，能显示捕获的数据的概要信息，如下列图所示：（2） 如图要查看当前捕获的各种数据，单击对话框左侧的service、connection选项，在右侧即可显示相应的数据的概要信息。单击 Objects选项开卡、可显示当前所监视对象的详细信息，如下列图可显示：（3） 当前Sniffer捕获一定的数据，就可以停顿捕获并进展分析。单击工具上的快捷按钮，或依次选择Caputure- Stop选项。即可停顿捕获。从而了解网络的使用状况。3.2 查看分析捕获的数据依次选择 Capture- Display选项，即可查看所有捕获的容了。选择该窗口下方的Dcecode选项卡，显示如下列图所示窗口，该窗口共分为3个局部，由上到下依次为:总结、详细材料和Hex窗口的容，可以查看所捕获的每一个帧的详细。MatrixSniffer的矩阵功能可以直观地显示网络中各种计算机之间的连接。单击窗口下方的 Matrix标签，如下列图所示，以Matrix方式显示了网络中各种计算机之间的连接情况，默认以MAC地址代表计算机。Matrix图表显示IP连接Host Table主要列表是一个很有用的功能，如下列图所示，显示出该捕获过程中各计算机所传输的数据，并且可以根据所传输数据的多少来排列。3.2 保存数据当捕获完毕后，依次选择 File- Save选项，即可当前已捕获的数据保存到硬盘上，当日后再想重新分析时，可File菜单中的Open选项，选择事先保存的文件即可。阻止外部主机恶意扫描主机使用Sniffer pro在代理效劳器VLAN监控网络传输状况时，发现有一个IP地址的并发连接数量很多，比方，某个局域网的ip地址围为211.82.216.0-211.82.223.0 显示该IP地址是来自外网的。由于网络采用Microsoft ISA群集效劳器，实现Internet连接共享，因此没有更多的对抗恶意扫描的措施，这个问题只有在核心三层交换机修改核心交换机上创立的、应用于代理效劳器VLAN的IP访问列表，在该IP访问列表中的permit ip any any之前添加Access-list 180 deny ip any host 219.248.188.130Access-list 180 deny ip host 219.248.188.130 any3.3 P2P软件谋杀Internet连接共享使用Smiffre Pro 监控代理效劳器VLAN时，也发现大量用户的并发连接数量很大在核心交换机上设置IP访问列表，并将之应用于代理效劳器群集所在的VLAN ，禁用一些蠕虫病毒端口和常见P2P软件的端口。IP访问列表如下Access-list 110 deny tcp any any eq 135Access-list 110 deny tcp any any eq 139Access-list 110 deny udp any any range netbios-ns netbios-dgmAccess-list 110 deny tcp any any eq 445Access-list 110 deny tcp any any range 3076 3077Access-list 110 deny udp any any range 3076 3077Access-list 110 deny tcp any any eq 3389Access-list 110 deny tcp any any eq 4001Access-list 110 deny tcp any any eq 4004Access-list 110 deny tcp any any range 4661 4672Access-list 110 deny tcp any any range 6881 6890Access-list 110 deny tcp any any eq 8008Access-list 110 deny tcp any any gt 8081Access-list 110 deny udp any any gt 8081Access-list 110 deny icmp any any Access-list 110 permit ip any any 开场的一段时间效果比拟明显，Imternet访问速度得到了提升。然而。过了一周左右，Internet连接速率又慢慢讲了下来。使用Sniffer pro监测室时，又发现；了大量的并发连接。原来许多BT、eMule和PPLive 等P2P用户修改了默认的tcp端口，因此原来的IP访问列表已经不起什么作用了。于是、只好重新修改IP访问列表。这次只开放了一些常见的和必须的internet应用端口，而禁用其他端口。六、 sniffer分析网络风暴播送风暴简介所谓播送风暴，简单的讲，当播送数据充满网络无法处理，并占用大量网络带宽，导致正常业务不能运行，甚至彻底瘫痪，这就发生了播送风暴。一个数据帧或包被传输到本地网段 (由播送域定义)上的每个节点就是播送；由于网络拓扑的设计和连接问题，或其他原因导致播送在网段大量复制，传播数据帧，导致网络性能下降，甚至网络瘫痪，这就是播送风暴。出现播送风暴时，仪表盘变化下面来我们看看，当环路出现时形成的播送风暴，如下图为showaveragerate.平均播送数据包/秒的统计。在快速以太网中，数据的传输带宽为100Mbp/S,通过换算约为12.5MBps*1024=12800Byte/S.每秒交换线路的每节点最高能承受12800Byte/S的数据通过，而现在播送数据量已经远远高于这个数字，也就发生通常所说的网络风暴，网络瘫痪。通过Sniffer Pro提供的Alarm告警系统，查看播送风暴如下图为Sniffer Pro在播送风暴时的告警。我们可以通过Monitor下的Alarmlog查看。软件默认Broadcasts每秒2000，超过设定的阀值，软件那么会报警。流量分析交换机流量很大，利用率很高，每秒钟数据包数很高，几乎到达了百兆以太网最大的数据包数，其中播送包和组播包数非常大，几乎所有的数据包都是 MAC 层的播送包和组播包。分析哪些主机大量发送播送数据包通过查看数据链路层主机的会话对分析哪些主机在大量发送播送包。从数据链路层的会话来看，多个 MAC 地址发送大量播送数据包。较为异常。四. 实训总结在两周的的实训过程中，我们从宽带故障、无线宽带排除、光纤故障排除三个方面，认识到校园网络经常出现的问题，每一个问题都使网络管理员经受得起考验，从网络问题的现象，到网络问题处理，在处理过程中我们要善于总结，从一般问题到特殊问题。我们还学习了网管经常使用的工具软件，其中首推sniffer软件， Sniffer功能强大。Sniffer可以实时监控网络状态，防止网络异常，包括网络蠕虫，ARP攻击，DDOS攻击。网络管理人员可以通过使用sniffer可直观的知道网络的现状。我们利用sniffer分析ARP欺骗、播送风暴、蠕虫病毒等。Sniffer主要用来分析网络的流量，在众多流量中分析所关注的问题Sniffer的功能主要包括以下几个方面：1、可以判断网络中某台计算机使用网络的具体情况，包括使用的网络协议、数据流量大小。2、网络发生故障时，可以用嗅探器对问题做出准确的判断。3、Sniffer的功能主要有：4、捕获网络流量进展分析、利用专家分析系统诊断问题。5、实时监控网络活动情况6、支持主要的LAN、WAN 和网络技术7、提供在位和字节水平过滤数据包的能力在合理的网络中，sniffer的存在对系统管理员来说是至关重要的，系统和管理员通过sniffer可以诊断出大量的不可见模糊问题，这些问题涉及及两台乃至多台计算机之间的异常通信，有些甚至涉及各种的协议，借助于sniffer，系统管理员可以方便地确定出多少的通信量属于哪个协议、占主要通信协议的主机是哪一台、大多数通信目的地是哪台主机、报文发送占多少时间或者相互主机的报文传送时间间隔等。，这些信息为管理员判断网络问题、管理员网络区域提供了非常珍贵的信息。. z.