姜金旺

（江蘇省科學(xué)技術(shù)情報(bào)研究所，江蘇南京 210042）

0 引言

網(wǎng)絡(luò)故障和網(wǎng)絡(luò)攻擊是計(jì)算機(jī)網(wǎng)絡(luò)中經(jīng)常出現(xiàn)的事件。前者是由網(wǎng)絡(luò)硬件失效、使用者配置不當(dāng)、設(shè)備設(shè)計(jì)時(shí)的缺陷等原因引起的。后者是人為的、有計(jì)劃、有目的破壞網(wǎng)絡(luò)通信的行為。因?yàn)槎咭鹁W(wǎng)絡(luò)異常的表象相似，引發(fā)的報(bào)警信息相近，容易引起錯(cuò)誤判斷。因此，有必要辨別其差異，洞察其本質(zhì)?，F(xiàn)將管理網(wǎng)絡(luò)過(guò)程中遇到的3個(gè)實(shí)例進(jìn)行剖析，以資參考。

1 缺省參數(shù)引發(fā)的故障

江蘇省一政府部門最近部署了一套項(xiàng)目網(wǎng)絡(luò)申報(bào)和評(píng)審電子政務(wù)平臺(tái)，用戶有我省的科技創(chuàng)新企業(yè)和參與評(píng)審的各地專家。其結(jié)構(gòu)包括：硬件系統(tǒng)由4臺(tái)PC服務(wù)器構(gòu)成用戶訪問(wèn)前臺(tái)，1臺(tái)IBM的Power6小機(jī)作為數(shù)據(jù)庫(kù)后臺(tái)，1臺(tái)IBM磁盤陣列做數(shù)據(jù)存儲(chǔ)介質(zhì)。前臺(tái)運(yùn)行IBM公司的Websphere中間件軟件，提供web訪問(wèn)和負(fù)載均衡。后臺(tái)運(yùn)行ORACLE數(shù)據(jù)庫(kù)軟件。按照設(shè)計(jì)方案，這樣的配置對(duì)有限的項(xiàng)目申報(bào)而言應(yīng)該是足夠強(qiáng)大和穩(wěn)定的。

平臺(tái)在測(cè)試過(guò)程中沒(méi)有發(fā)現(xiàn)任何問(wèn)題。正式開(kāi)通使用時(shí)卻發(fā)現(xiàn)用戶登錄服務(wù)器很困難，需要等待很長(zhǎng)時(shí)間才能出現(xiàn)登錄窗口，并且不能順利完成后續(xù)的操作。開(kāi)始以為是網(wǎng)站剛剛開(kāi)通，登錄的人較多，出現(xiàn)擁堵在所難免，可幾天之后，狀況未見(jiàn)好轉(zhuǎn)。分析發(fā)現(xiàn)服務(wù)器網(wǎng)絡(luò)端口的流量非常小，明顯感到系統(tǒng)工作不太正常。由于時(shí)間緊迫，必須盡快解決問(wèn)題，否則，項(xiàng)目申報(bào)、評(píng)審等一系列工作都會(huì)受到影響。

首先，技術(shù)人員根據(jù)服務(wù)器網(wǎng)絡(luò)端口流量小的情況，推測(cè)是否是交換機(jī)擁堵造成的。先后采取了一些措施：更換交換機(jī)端口；降低交換機(jī)負(fù)載；由該服務(wù)器獨(dú)占整個(gè)交換機(jī)；在防火墻上給服務(wù)器預(yù)留足夠帶寬等。這些手段沒(méi)有讓服務(wù)器網(wǎng)絡(luò)口流量顯著增加，用戶感覺(jué)依然太慢。

既然不是網(wǎng)絡(luò)擁堵的原因，應(yīng)該還是服務(wù)器方面的問(wèn)題。為什么網(wǎng)上有那么多用戶急于登錄而服務(wù)器卻如此“清閑”？請(qǐng)教IBM的客服人員后，技術(shù)人員試著修改WebSphere的參數(shù)。當(dāng)增加其中“最大連接數(shù)”參數(shù)值后，情況立馬改觀，服務(wù)器網(wǎng)絡(luò)端口流量大大增加，用戶訪問(wèn)正常。

分析一下原因會(huì)發(fā)現(xiàn)其中奧妙，計(jì)算機(jī)系統(tǒng)和其他工業(yè)系統(tǒng)一樣，有許多參數(shù)需要控制和調(diào)整。一般情況下，都是使用廠家出廠設(shè)定的缺省參數(shù)值作為運(yùn)行參數(shù)。這樣性能最佳、可靠穩(wěn)定。但結(jié)合某個(gè)具體平臺(tái)觀察，由于使用的硬件不同，操作系統(tǒng)不同，中間件軟件、數(shù)據(jù)庫(kù)軟件及編程環(huán)境不同，平臺(tái)的綜合性能是與每個(gè)部分參數(shù)配置密切相關(guān)的。只要其中一個(gè)參數(shù)設(shè)置不當(dāng)成為“短板”，整個(gè)平臺(tái)的性能就會(huì)大打折扣。解決這些問(wèn)題需要技術(shù)人員知識(shí)的積累，更需要實(shí)戰(zhàn)經(jīng)驗(yàn)的沉淀。

2 網(wǎng)絡(luò)廣播地址被劫持引發(fā)的故障

TCP/IP協(xié)議族是當(dāng)今互聯(lián)網(wǎng)通信的基礎(chǔ)。由于先天設(shè)計(jì)上的缺陷，造成今天互聯(lián)網(wǎng)很容易遭到黑客的攻擊。網(wǎng)關(guān)被劫持，DNS被劫持，甚至網(wǎng)段的廣播地址也會(huì)被劫持。

一日，有人反映說(shuō)：中午吃飯前計(jì)算機(jī)網(wǎng)絡(luò)還是正常的，吃飯以后就斷斷續(xù)續(xù)，不能上網(wǎng)了。根據(jù)以往的經(jīng)驗(yàn)，本人首先判斷網(wǎng)絡(luò)線、網(wǎng)卡、計(jì)算機(jī)等硬件設(shè)備應(yīng)該沒(méi)有故障，應(yīng)該是由計(jì)算機(jī)病毒、木馬或軟件安裝不當(dāng)造成的故障。用360安全衛(wèi)士掃測(cè)，發(fā)現(xiàn)有DNS解析等方面的網(wǎng)絡(luò)故障。用360自動(dòng)修復(fù)功能修復(fù)后，故障還是會(huì)多次出現(xiàn)。不久，同一樓層的30多臺(tái)計(jì)算機(jī)都出現(xiàn)相同的網(wǎng)絡(luò)故障，網(wǎng)絡(luò)連接時(shí)通時(shí)斷，行為異常。

筆者猜測(cè)故障是否是樓層交換機(jī)或光纖收發(fā)模塊年久老化引起的。采用應(yīng)急替換的辦法分別更換了交換機(jī)和光纖收發(fā)模塊，故障依舊。為什么該樓層30多臺(tái)計(jì)算機(jī)出現(xiàn)相同的故障？本人努力地在防火墻上四處搜尋，希望能找到一點(diǎn)故障線索。在查看MAC地址與IP地址對(duì)應(yīng)表時(shí)，終于發(fā)現(xiàn)了原因所在：一臺(tái)計(jì)算機(jī)居然使用的是該網(wǎng)段的廣播地址，使該樓層網(wǎng)段內(nèi)所有計(jì)算機(jī)均不能正常上網(wǎng)。

通過(guò)MAC地址查找到該計(jì)算機(jī)對(duì)應(yīng)的交換機(jī)端口，再找到該計(jì)算機(jī)。查看計(jì)算機(jī)的TCP/IP連接，果然為該網(wǎng)段的廣播地址，修改后，故障消除。

隨意更改IP地址是不良的上網(wǎng)習(xí)慣，一般通過(guò)MAC地址以IP地址綁定即可解決。如果占用了網(wǎng)段的廣播地址，即廣播地址劫持，則該網(wǎng)段內(nèi)的所有計(jì)算機(jī)就不能正常上網(wǎng)了。

3 設(shè)備固有缺陷引發(fā)的故障

網(wǎng)絡(luò)設(shè)備雖然作為產(chǎn)品已經(jīng)投放市場(chǎng)使用，因其設(shè)計(jì)過(guò)程不可能探究到實(shí)際使用過(guò)程中的各種狀況，存在缺陷是在所難免的。就像“汽車召回”維修更換一樣，網(wǎng)絡(luò)設(shè)備需要不停升級(jí)。

一日，發(fā)現(xiàn)上網(wǎng)速度比往常慢許多，檢查防火墻發(fā)現(xiàn)其CPU使用率已達(dá)80%，網(wǎng)絡(luò)流量還不到10%，正常情況下，CPU使用率一般低于5%。防火墻是專業(yè)網(wǎng)絡(luò)設(shè)備，不可能像一般計(jì)算機(jī)那樣，黑客不太容易在其中安裝“木馬”軟件，結(jié)合防火墻的日志和網(wǎng)絡(luò)流量，應(yīng)該不是遭到黑客攻擊。防火墻是單位網(wǎng)絡(luò)的總出入口，影響很大。

經(jīng)過(guò)與廠家技術(shù)人員溝通，對(duì)防火墻的參數(shù)和工作狀態(tài)進(jìn)行了檢查，沒(méi)有發(fā)現(xiàn)內(nèi)外網(wǎng)絡(luò)對(duì)防火墻的攻擊，故障原因應(yīng)該來(lái)自防火墻自身。重新啟動(dòng)防火墻后，CPU使用率下降，暫時(shí)解決了網(wǎng)絡(luò)通信緩慢的問(wèn)題。不久，防火墻廠家升級(jí)了防火墻內(nèi)核軟件，故障徹底排除。

4 小結(jié)

隨著網(wǎng)絡(luò)速度的大大提升，網(wǎng)絡(luò)應(yīng)用也越來(lái)越新奇。在網(wǎng)絡(luò)已經(jīng)成為“不能斷”的今天，精準(zhǔn)判斷網(wǎng)絡(luò)故障、防范網(wǎng)絡(luò)攻擊是網(wǎng)絡(luò)管理重要的日常工作。只有不斷積累網(wǎng)絡(luò)管理方面的經(jīng)驗(yàn)，才能眼明手快，保障有力。

［1］肖文軍.淺析計(jì)算機(jī)網(wǎng)絡(luò)故障分析及維護(hù)［J］.電腦知識(shí)與技術(shù)，2009（18）.

［2］張濤，董占球.網(wǎng)絡(luò)攻擊行為分類技術(shù)的研究［J］.計(jì)算機(jī)應(yīng)用，2004（4）.

［3］尹紅.網(wǎng)絡(luò)攻擊與防御技術(shù)研究［J］.計(jì)算機(jī)安全，2007（8）.

［4］宋開(kāi)旭.網(wǎng)絡(luò)攻擊與網(wǎng)絡(luò)安全分析［J］.電腦編程技巧與維護(hù)，2009（10）.