◆孟治强

（江西财经职业学院 江西 332000）

基于数据包分析的校园网络故障检测研究

◆孟治强

（江西财经职业学院 江西 332000）

互联网的发展让高校网络变得越来越复杂，随之而来的就是高校网络管理的难度不断增加，尤其是校园网络故障检测更加的困难。本文从数据包分析入手，讨论校园网络故障检测的方法，并以ARP病毒导致的网络中断为例进行了案例分析。

数据包分析；校园网络；故障检测分析；ARP

0 引言

在日常的校园网络维护中，一般情况下我们判断网络故障只能依靠长期的经验观察判断，或是用备用设备进行替代，但对于某些黑客攻击或网络设备的软件故障缺乏有效的判别手段。本文讨论从数据包分析的角度进行网络故障检测的方法及其在校园网络故障排除中的应用，并通过实际案例说明基于数据包分析的校园网络故障检测一般流程。

1 检测步骤

1.1 信息收集与初步判断

管理员需要对网络的总体信息有充分的了解，收集如网络拓扑结构、VLAN信息、IP地址分布等基本信息，为故障判断做准备。故障发生时应结合掌握的信息初步判断故障原因和故障点，并逐一排除，缩小范围，从而找到故障的大致原因，如发现网络故障与硬件无关则可以使用数据包分析方法。

1.2 数据包采集

用于网络故障检测的数据包须来自于全网方能反映真实的网络状况。因此采集数据包的软件应部署在网络总出口上，一般交换网中部署在核心交换机的镜像端口上，核心交换机不具备端口镜像功能的可以在交换机上串联一个集线器进行抓包。

正常数据通信时网络接口卡只接收目标地址自身MAC地址的数据包或广播包，而sniffer类工具可以让网卡工作在混杂模式（promiscuous模式），从而接收所有经过该网卡的数据包，并交由软件分析处理。

本文案例分析采用的软件是科来网络分析系统技术交流版9.0抓包，软件安装在笔记本上并连接cisco 6509的镜像端口，以保证能够获取到全网数据包。网络故障发生时开启软件抓包，并结果保存成数据文件供后续分析。

1.3 数据包分析

数据包分析需要结合工作经验，对捕获的数据包进行专业的分析，结合传输协议等相关知识，对故障做出具体判断，找出故障原因进而调整网络。如分析捕获的数据包中的概要信息，发现网络中的数据包重发率较高，则可以判断出该网络出现了网络拥塞，可能是交换机的带宽达到了瓶颈，确认故障问题后再做相应的调整。基于数据包分析的校园网络故障检测分析的一般流程如图1所示。

图1 基于数据包分析的一般流程

2 案例分析

下面本文将以某高校爆发的一次ARP病毒攻击所造成的网络中断为例对基于数据包分析的校园网络故障检测流程进行详细阐述。

2.1 网络故障描述

网络变得异常缓慢，部分VLAN中的网络用户网络中断或时断时续，从核心交换机上ping该VLAN中的用户发现丢包严重，且时延较长初步判断造成此种现象可能为有三种情况：①人为病毒攻击；②环路；③交换机故障。

2.2 网络故障检测过程

首先我们需要获取网络的基本情况。Telnet到核心交换机Cisco6509上，查看核心交换与外网连接正常使用show processes cpu命令查看cpu使用率，发现使用率过高，重启6509后状况没有好转；然后查看接入层和汇聚层交换机均无硬件问题，排除硬件故障；再询问其他管理员近期网络拓扑没有改变，因此也排除环路可能，最后决定抓包分析。

在核心交换机6509上配置端口镜像，将安装有科来网络分析系统的笔记本连接在镜像端口上并进行抓包，学校此次发生故障的区域是办公区，IP地址是10.0.16.0/20，获取数据后着重分析该网段的主机下是否异常。

2.3 网络故障分析

打开软件开始抓包，约1分钟左右停止捕获，分析捕获的数据包。点击“诊断”，大致观察软件提供的诊断信息。诊断视图中提示数据链路层存在ARP广播风暴，初步断定可能网络中存在ARP攻击。

点击“节点浏览器”，切换至“本地网段”，看到物理地址为00：00：E8：50：BC：98的主机下面绑定了36个IP地址，此种现象一般只会发生在网关、代理服务器上，而局域网的网关物理地址为00：11：BC：02：B0：00，且网内没有代理服务器，因此我们可以判定该物理地址的主机可能存在攻击行为。

点击00：00：E8：50：BC：98主机节点，查看“协议视图”，发现该节点主机通讯数据包中包含的协议中ARP协议所占比例较高，单击该协议具体查看数据包，从“概要”中可以看到该主机向局域网中其他用户发送欺骗数据包，可以断定该主机进行ARP欺骗。

2.4 故障处理

登录核心交换机，查找该主机所在的VLAN，再通过查询汇聚层交换机和接入层交换机的相关信息，找到该主机所在端口，拔掉网线，网络迅速恢复正常。

找到问题主机，查看操作系统，并未在主机上发现主动攻击软件，而其杀毒软件已经无法正常工作，因此断定其是因为中了蠕虫病毒才发动的攻击而并非人为攻击。重新安装操作系统后接入网络，主机和网络均运转正常。

另外，通过软件我们还发现了4个MAC地址的数据量较大，通过矩阵图发现连接非常多可能存在异常，经过排查其中一个为网关地址，另外3个地址在抓包过程中正在使用p2p软件下载资源，计算机本身无异常。

3 小结

校园网络用户较多、网络结构复杂，网络故障种类繁多难于判断，尤其是部分网络故障如IP地址欺骗、ARP病毒攻击等，故障主机本身流量不大，单纯从交换机上查看相关信息，很难做出判断找出故障点，因此更加需要借助专业数据包分析工具，捕获数据包后结合协议分析进行排查。

本例中由于采用的抓包软件是技术交流版，受功能限制捕获数据包的时间较短，所以网络中极可能还存在其他未被检测出的故障点或问题主机，如汇聚交换与核心交换的背板带宽问题、其他被感染的病毒主机当前并未开机，无法查找等问题。因此对于校园网络的运行，需要网络管理员对网络进行定期的监测，并进行分析，总结报告并进行实时调整，才能最大程度保障校园网络的正常运行，排除潜在的网络故障与安全威胁。

[1]黄高峰．基于数据包分析的网络故障诊断研究[J]．计算机应用与软件，2008．

[2]罗晓斌．基于数据包分析的安卓应用软件网络故障诊断介绍[J]．数字技术与应用，2015．

[3]黄培．基于数据包分析的网络故障分析与研究[J]．网络通讯与安全，2006．