网络故障分析报告如何写?( 二 )


二、网络故障分析及定位
从上面描述的故障现象来看 , 问题似乎与S3XXX下9台计算机有关(在此前联系马晓伟从高科技机房测试无丢包、断线等现象 , 网络正常) 。
为了首先恢复业务的正常使用 , 对S3XXX做了如下操作 。
1、因为昨天刚从此S3XXX上21口开LAN业务供9XXXX做互联星空测试使用 , 所以怀疑是否21口上网有病毒感染到局域网 。首先对S3XXX各个端口做了端口隔离 , 做完之后故障现象依旧 。
2、由于做端口隔离故障依旧 , 而计算机都是上一会就断 , 重启后又可以上网 , 和马晓伟联系后怀疑为ARP地址欺骗攻击 , 建议做端口绑定操作 。随后对4号机1号机做端口绑定(做完这两个笔记本没电了 , 在给笔记本充电过程中对网络进行观察) 。
3、从19:00-20:00计算机网络使用正常没有发生过断线情况 , 同时对4号机进行病毒查杀 , 通过卡巴斯基查到两个病毒,一个是木马程序Trojan_Downloader.JSIstBar.aj , 另一个是蠕虫病毒 。
三、对故障现象的解释
S3XXX下计算机刚开机上网正常 , 一段时间后发生断线情况 , 重启或重新拔插网线后正常 。
【网络故障分析报告如何写?】现象解释:“ARP欺骗”类病毒在局域网中屡有发现 , 具体表现为 , 当局域网中一台计算机感染了这类ARP病毒或木马后 , 会不定期的发送伪造的ARP响应数据报文和广播报文 。受感染的电脑发出的这种报文会欺骗所在网段的其他电脑 , 对其他电脑宣称自己的mac就是网关的mac , 对实际的网关说其他电脑ip的mac就是自己的mac , 这样网关(交换机或路由器)无法学习到上网主机的mac , 更新不了网关arp表 , 就无法转发数据帧 。电脑中毒后会向同网段内所有计算机发送ARP欺骗包 , 导致网络内其他电脑因网关物理地址被更改而无法上网 , 被欺骗电脑的典型症状就是刚开机能上网 , 几分钟后断网 , 过一会又能上 , 或者重启一遍电脑就可以上网 , 一会又不好了 , 如此重复不断 , 影响正常使用 。