文档介绍:某电台故障处理报告
某电视台故障处理报告
1. 故障现象
某电视台备播系统存储设备扩容过程中产生瞬时网络风暴,导致重大播出事故,采
用应急处理后网络恢复正常,电视台领导责令查找网络风暴产生原因。
2. 基础网络环境
. 分析方案
1. 分析目标
查找备播系统内部产生瞬时网络风暴的原因。
2. 分析思路
第一步:先检查备播网络环境中是否存在干扰因素:如病毒、网络配置不当导致网
络环路;
第二步:如果没有干扰因素,则需要重现存储扩容操作过程,查找是否因操作异常
导致网络风暴出现;
工具软件:利用科来协议分析仪进行精确定位;
第 1 页第 1 页
某电台故障处理报告
. 排除环境干扰
1. 定位是否为病毒引起
1) 病毒特征分析
根据上面的现象,能够出现这种网络风暴的病毒一般情况是蠕虫或者攻击类的病毒,
该病毒有如下几种特征:
2) 蠕虫类病毒
网络层:同大量的主机会话,大多是发包,每个会话流量很少;
连接层:连接很多,大多是发出的 TCP SYN 包,大部分没有响应或被拒绝;
总体流量:发包远大于收包数量
3) arp 病毒
Arp 扫描病毒:发送大量 arp 请求,扫描本网段内的 mac 地址,消耗交换机资源;
Arp 欺骗攻击:通过主动发送大量的 arp 响应实现地址欺骗,从而获取其它主机通
讯信息,
4) 结合现场环境情况分析
网络中的计算机设备被感染该类病毒后会扫描所有网段内的设备,根据故障现象描
述,单台被感染的计算机设备扫描网络的流量不会这么大,除非备播系统内部很多的计
算机设备被感染,而且是在同一个时间进行这样的操作,否则不会导致备播系统内部 4
台交换机的指示灯全部狂闪。
根据了解系统升级前后运行状态均正常,但是需要查看是否有隐含该类病毒的情况,
即是否个别计算机设备存在这类现象,只是数据量比较小,交换机表现不明显;另外根
据故障现象,产生网络风暴应该主要是广播风暴,因此通过抓取广播数据包能够检查是
否存在该类现象;
2. 确认病毒的方法
部署协议分析仪(笔记本电脑安装科来软件):
监控对象:在每台交换机上镜像所有端口流量到协议分析仪端口
科来软件抓包结果:
第 2 页第 2 页
某电台故障处理报告
1) 分析软件诊断界面中没有出现频率很高的扫描行为;
2) 诊断界面
出现很多 IP 地址冲突 ,经过了解,该 IP 在所有的计算机上都存在,
是 HP 服务器默认管理 IP,经过了解对网络无任何影响,业务系统中也没有使用该网段;
少量 arp 扫描信息,、,经过了解这 2 个 IP 扫描属于
正常业务情况,这 2 个服务器正在查找几个业务服务器,而这些服务器已经关机;
3. 结果判定
备播系统内正常情况下无异常流量;
4. 定位网络配置
根据上面备播系统网络拓扑图和实际的交换机配置,网络设备物理连接基本为单链
路连接,网络设备为 2 层配置,但是和全台网互联为 3 层连接,因此初步排查备播交换
机网络设备的配置不会存在网络路由环路,但是需要进一步验证是否受