实例分析网络故障与网络攻击的差异及解决措施

　　0 引言

　　网络故障和网络攻击是计算机网络中经常出现的事件.前者是由网络硬件失效、使用者配置不当、设备设计时的缺陷等原因引起的.后者是人为的、有计划、有目的破坏网络通信的行为.因为二者引起网络异常的表象相似,引发的报警信息相近,容易引起错误判断.因此,有必要辨别其差异,洞察其本质.现将管理网络过程中遇到的 3 个实例进行剖析,以资参考.

　　1 缺省参数引发的故障

　　江苏省一政府部门最近部署了一套项目网络申报和评审电子政务平台,用户有我省的科技创新企业和参与评审的各地专家.其结构包括:硬件系统由 4 台 PC 服务器构成用户访问前台,1 台 IBM 的 Power6 小机作为数据库后台,1 台 IBM 磁盘阵列做数据存储介质.前台运行 IBM 公司的 Websphere 中间件软件,提供 web 访问和负载均衡.后台运行 ORACLE 数据库软件.按照设计方案,这样的配置对有限的项目申报而言应该是足够强大和稳定的.

　　平台在测试过程中没有发现任何问题.正式开通使用时却发现用户登录服务器很困难,需要等待很长时间才能出现登录窗口,并且不能顺利完成后续的操作.开始以为是网站刚刚开通,登录的人较多,出现拥堵在所难免,可几天之后,状况未见好转.分析发现服务器网络端口的流量非常小,明显感到系统工作不太正常.由于时间紧迫,必须尽快解决问题,否则,项目申报、评审等一系列工作都会受到影响.

　　首先,技术人员根据服务器网络端口流量小的情况,推测是否是交换机拥堵造成的.先后采取了一些措施:更换交换机端口;降低交换机负载;由该服务器独占整个交换机;在防火墙上给服务器预留足够带宽等.这些手段没有让服务器网络口流量显着增加,用户感觉依然太慢.

　　既然不是网络拥堵的原因,应该还是服务器方面的问题.为什么网上有那么多用户急于登录而服务器却如此"清闲"?

　　请教 IBM 的客服人员后,技术人员试着修改 WebSphere 的参数.当增加其中"最大连接数"参数值后,情况立马改观,服务器网络端口流量大大增加,用户访问正常.

　　分析一下原因会发现其中奥妙,计算机系统和其他工业系统一样,有许多参数需要控制和调整.一般情况下,都是使用厂家出厂设定的缺省参数值作为运行参数.这样性能最佳、可靠稳定.但结合某个具体平台观察,由于使用的硬件不同,操作系统不同,中间件软件、数据库软件及编程环境不同,平台的综合性能是与每个部分参数配置密切相关的.只要其中一个参数设置不当成为"短板",整个平台的性能就会大打折扣.解决这些问题需要技术人员知识的积累,更需要实战经验的沉淀.

　　2 网络广播地址被劫持引发的故障

　　TCP/IP 协议族是当今互联网通信的基础.由于先天设计上的缺陷,造成今天互联网很容易遭到黑客的攻击.网关被劫持,DNS 被劫持,甚至网段的广播地址也会被劫持.

　　一日,有人反映说:中午吃饭前计算机网络还是正常的,吃饭以后就断断续续,不能上网了.根据以往的经验,本人首先判断网络线、网卡、计算机等硬件设备应该没有故障,应该是由计算机病毒、木马或软件安装不当造成的故障.用 360 安全卫士扫测,发现有 DNS 解析等方面的网络故障.用 360 自动修复功能修复后,故障还是会多次出现.不久,同一楼层的 30 多台计算机都出现相同的网络故障,网络连接时通时断,行为异常.

　　笔者猜测故障是否是楼层交换机或光纤收发模块年久老化引起的.采用应急替换的办法分别更换了交换机和光纤收发模块,故障依旧.为什么该楼层 30 多台计算机出现相同的故障?本人努力地在防火墙上四处搜寻,希望能找到一点故障线索.在查看 MAC 地址与 IP 地址对应表时,终于发现了原因所在:一台计算机居然使用的是该网段的广播地址,使该楼层网段内所有计算机均不能正常上网.

　　通过 MAC 地址查找到该计算机对应的交换机端口,再找到该计算机.查看计算机的 TCP/IP 连接,果然为该网段的广播地址,修改后,故障消除.

　　随意更改 IP 地址是不良的上网习惯,一般通过 MAC 地址以 IP 地址绑定即可解决.如果占用了网段的广播地址,即广播地址劫持,则该网段内的所有计算机就不能正常上网了.

　　3 设备固有缺陷引发的故障

　　网络设备虽然作为产品已经投放市场使用,因其设计过程不可能探究到实际使用过程中的各种状况,存在缺陷是在所难免的.就像"汽车召回"维修更换一样,网络设备需要不停升级.

　　一日,发现上网速度比往常慢许多,检查防火墙发现其CPU 使用率已达 80%,网络流量还不到 10%,正常情况下,CPU 使用率一般低于 5%.防火墙是专业网络设备,不可能像一般计算机那样,黑客不太容易在其中安装"木马"软件,结合防火墙的日志和网络流量,应该不是遭到黑客攻击.防火墙是单位网络的总出入口,影响很大.

　　经过与厂家技术人员沟通,对防火墙的参数和工作状态进行了检查,没有发现内外网络对防火墙的攻击,故障原因应该来自防火墙自身.重新启动防火墙后,CPU 使用率下降,暂时解决了网络通信缓慢的问题.不久,防火墙厂家升级了防火墙内核软件,故障彻底排除.

　　4 小结

　　随着网络速度的大大提升,网络应用也越来越新奇.在网络已经成为"不能断"的今天,精准判断网络故障、防范网络攻击是网络管理重要的日常工作.只有不断积累网络管理方面的经验,才能眼明手快,保障有力.

　　参考文献

　　[1]肖文军.浅析计算机网络故障分析及维护[J].电脑知识与技术,2009(18).

　　[2]张涛,董占球.网络攻击行为分类技术的研究[J].计算机应用,2004(4).

　　[3]尹红.网络攻击与防御技术研究[J].计算机安全,2007(8).

　　[4]宋开旭.网络攻击与网络安全分析[J].电脑编程技巧与维护,2009(10).