網(wǎng)絡故障與網(wǎng)絡攻擊的異同及措施分析

姜金旺

（江蘇省科學技術(shù)情報研究所，江蘇南京 210042）

0 引言

網(wǎng)絡故障和網(wǎng)絡攻擊是計算機網(wǎng)絡中經(jīng)常出現(xiàn)的事件。前者是由網(wǎng)絡硬件失效、使用者配置不當、設備設計時的缺陷等原因引起的。后者是人為的、有計劃、有目的破壞網(wǎng)絡通信的行為。因為二者引起網(wǎng)絡異常的表象相似，引發(fā)的報警信息相近，容易引起錯誤判斷。因此，有必要辨別其差異，洞察其本質(zhì)?，F(xiàn)將管理網(wǎng)絡過程中遇到的3個實例進行剖析，以資參考。

1 缺省參數(shù)引發(fā)的故障

江蘇省一政府部門最近部署了一套項目網(wǎng)絡申報和評審電子政務平臺，用戶有我省的科技創(chuàng)新企業(yè)和參與評審的各地專家。其結(jié)構(gòu)包括：硬件系統(tǒng)由4臺PC服務器構(gòu)成用戶訪問前臺，1臺IBM的Power6小機作為數(shù)據(jù)庫后臺，1臺IBM磁盤陣列做數(shù)據(jù)存儲介質(zhì)。前臺運行IBM公司的Websphere中間件軟件，提供web訪問和負載均衡。后臺運行ORACLE數(shù)據(jù)庫軟件。按照設計方案，這樣的配置對有限的項目申報而言應該是足夠強大和穩(wěn)定的。

平臺在測試過程中沒有發(fā)現(xiàn)任何問題。正式開通使用時卻發(fā)現(xiàn)用戶登錄服務器很困難，需要等待很長時間才能出現(xiàn)登錄窗口，并且不能順利完成后續(xù)的操作。開始以為是網(wǎng)站剛剛開通，登錄的人較多，出現(xiàn)擁堵在所難免，可幾天之后，狀況未見好轉(zhuǎn)。分析發(fā)現(xiàn)服務器網(wǎng)絡端口的流量非常小，明顯感到系統(tǒng)工作不太正常。由于時間緊迫，必須盡快解決問題，否則，項目申報、評審等一系列工作都會受到影響。

首先，技術(shù)人員根據(jù)服務器網(wǎng)絡端口流量小的情況，推測是否是交換機擁堵造成的。先后采取了一些措施：更換交換機端口；降低交換機負載；由該服務器獨占整個交換機；在防火墻上給服務器預留足夠帶寬等。這些手段沒有讓服務器網(wǎng)絡口流量顯著增加，用戶感覺依然太慢。

既然不是網(wǎng)絡擁堵的原因，應該還是服務器方面的問題。為什么網(wǎng)上有那么多用戶急于登錄而服務器卻如此“清閑”？請教IBM的客服人員后，技術(shù)人員試著修改WebSphere的參數(shù)。當增加其中“最大連接數(shù)”參數(shù)值后，情況立馬改觀，服務器網(wǎng)絡端口流量大大增加，用戶訪問正常。

分析一下原因會發(fā)現(xiàn)其中奧妙，計算機系統(tǒng)和其他工業(yè)系統(tǒng)一樣，有許多參數(shù)需要控制和調(diào)整。一般情況下，都是使用廠家出廠設定的缺省參數(shù)值作為運行參數(shù)。這樣性能最佳、可靠穩(wěn)定。但結(jié)合某個具體平臺觀察，由于使用的硬件不同，操作系統(tǒng)不同，中間件軟件、數(shù)據(jù)庫軟件及編程環(huán)境不同，平臺的綜合性能是與每個部分參數(shù)配置密切相關的。只要其中一個參數(shù)設置不當成為“短板”，整個平臺的性能就會大打折扣。解決這些問題需要技術(shù)人員知識的積累，更需要實戰(zhàn)經(jīng)驗的沉淀。

2 網(wǎng)絡廣播地址被劫持引發(fā)的故障

TCP/IP協(xié)議族是當今互聯(lián)網(wǎng)通信的基礎。由于先天設計上的缺陷，造成今天互聯(lián)網(wǎng)很容易遭到黑客的攻擊。網(wǎng)關被劫持，DNS被劫持，甚至網(wǎng)段的廣播地址也會被劫持。

一日，有人反映說：中午吃飯前計算機網(wǎng)絡還是正常的，吃飯以后就斷斷續(xù)續(xù)，不能上網(wǎng)了。根據(jù)以往的經(jīng)驗，本人首先判斷網(wǎng)絡線、網(wǎng)卡、計算機等硬件設備應該沒有故障，應該是由計算機病毒、木馬或軟件安裝不當造成的故障。用360安全衛(wèi)士掃測，發(fā)現(xiàn)有DNS解析等方面的網(wǎng)絡故障。用360自動修復功能修復后，故障還是會多次出現(xiàn)。不久，同一樓層的30多臺計算機都出現(xiàn)相同的網(wǎng)絡故障，網(wǎng)絡連接時通時斷，行為異常。

筆者猜測故障是否是樓層交換機或光纖收發(fā)模塊年久老化引起的。采用應急替換的辦法分別更換了交換機和光纖收發(fā)模塊，故障依舊。為什么該樓層30多臺計算機出現(xiàn)相同的故障？本人努力地在防火墻上四處搜尋，希望能找到一點故障線索。在查看MAC地址與IP地址對應表時，終于發(fā)現(xiàn)了原因所在：一臺計算機居然使用的是該網(wǎng)段的廣播地址，使該樓層網(wǎng)段內(nèi)所有計算機均不能正常上網(wǎng)。

通過MAC地址查找到該計算機對應的交換機端口，再找到該計算機。查看計算機的TCP/IP連接，果然為該網(wǎng)段的廣播地址，修改后，故障消除。

隨意更改IP地址是不良的上網(wǎng)習慣，一般通過MAC地址以IP地址綁定即可解決。如果占用了網(wǎng)段的廣播地址，即廣播地址劫持，則該網(wǎng)段內(nèi)的所有計算機就不能正常上網(wǎng)了。

3 設備固有缺陷引發(fā)的故障

網(wǎng)絡設備雖然作為產(chǎn)品已經(jīng)投放市場使用，因其設計過程不可能探究到實際使用過程中的各種狀況，存在缺陷是在所難免的。就像“汽車召回”維修更換一樣，網(wǎng)絡設備需要不停升級。

一日，發(fā)現(xiàn)上網(wǎng)速度比往常慢許多，檢查防火墻發(fā)現(xiàn)其CPU使用率已達80%，網(wǎng)絡流量還不到10%，正常情況下，CPU使用率一般低于5%。防火墻是專業(yè)網(wǎng)絡設備，不可能像一般計算機那樣，黑客不太容易在其中安裝“木馬”軟件，結(jié)合防火墻的日志和網(wǎng)絡流量，應該不是遭到黑客攻擊。防火墻是單位網(wǎng)絡的總出入口，影響很大。

經(jīng)過與廠家技術(shù)人員溝通，對防火墻的參數(shù)和工作狀態(tài)進行了檢查，沒有發(fā)現(xiàn)內(nèi)外網(wǎng)絡對防火墻的攻擊，故障原因應該來自防火墻自身。重新啟動防火墻后，CPU使用率下降，暫時解決了網(wǎng)絡通信緩慢的問題。不久，防火墻廠家升級了防火墻內(nèi)核軟件，故障徹底排除。

4 小結(jié)

隨著網(wǎng)絡速度的大大提升，網(wǎng)絡應用也越來越新奇。在網(wǎng)絡已經(jīng)成為“不能斷”的今天，精準判斷網(wǎng)絡故障、防范網(wǎng)絡攻擊是網(wǎng)絡管理重要的日常工作。只有不斷積累網(wǎng)絡管理方面的經(jīng)驗，才能眼明手快，保障有力。

［1］肖文軍.淺析計算機網(wǎng)絡故障分析及維護［J］.電腦知識與技術(shù)，2009（18）.

［2］張濤，董占球.網(wǎng)絡攻擊行為分類技術(shù)的研究［J］.計算機應用，2004（4）.

［3］尹紅.網(wǎng)絡攻擊與防御技術(shù)研究［J］.計算機安全，2007（8）.

［4］宋開旭.網(wǎng)絡攻擊與網(wǎng)絡安全分析［J］.電腦編程技巧與維護，2009（10）.