一般來說,區域網路流量快速增加,以致於區域網路癱瘓掉的情況,主要有三個原因,第1,是區域網段內有電腦使用P2P(Peer to Peer)軟體,發送大量的封包占據頻寬,導致區網癱瘓。

第2,是因為區域網路內的電腦網路卡故障,故障的網路卡發送大量的封包所導致的。

第3,則是因為網路內有電腦中毒了,病毒/蠕蟲藉由該電腦發送大量的封包,因而癱瘓區域網路。

不論情況是上述哪一種,網管人員首要的工作,就是找到出癱瘓區網的主機,但究竟是哪臺主機在影響區域網路呢?

首先,若能夠直接管理集線設備,則直接觀察集線設備的連接埠燈號是否閃爍不停,如果有特定連接埠的燈號不停閃爍,該連接埠若非重要主機,就先移除對應連接埠的網路線,或是檢視Switch的記錄檔,看哪個連接埠有問題,直接拔掉該埠網路線,先恢復區網運作,再找出使用該連接埠的電腦主機。

再者使用網路監聽(Net Sniffing)軟體,像是EtherDetect、IP Sniffer,擷取區域網路內的封包,分析出占據區網頻寬的電腦IP。不過監聽軟體只能找出釋放大量封包的主機,不見得能夠辨識出該電腦的狀況。


EtherDetect封包監聽軟體可以蒐集區域網路上面各個封包,並解析封包內容,取得大量封包資料,包含發送這些封包的IP位址。


根本之道,是使用具有NetFlow技術的網路設備協助監控、檢查出問題主機,若是該設備具有防火牆功能,還能直接將病毒所引起的封包直接封鎖,避免影響區域網路運作。

當然,檢測出來的IP和MAC Address,並不代表能夠順利找出有問題的主機。因此,網管人員建立有效的區網管理制度是非常重要的。在DHCP環境下,網管人員可以登入網域的管理模式,建立使用者清單,只要區域網路內有流量不正常的封包出現,查驗出IP與記錄檔比對,就可以找出問題主機的使用者。如果沒有架設網域伺服器,則可以利用固定IP的方式,登記主機使用者及MAC Address,並對應一組固定IP位址,如此一來,只要測到有IP位址發出不當流量的封包,就能快速地找到問題主機。

找到了問題主機以後,首先要立刻將它隔離,再予以對症下藥,若是網路卡故障,將網路卡汰換掉就可以了,如果網路卡內建在主機板上,則在BIOS中關閉網路卡的功能。如果是主機中毒,就需要透過防毒軟體清除系統內的病毒,清除主機裏面的病毒,以恢復電腦功能。若是有人使用P2P軟體影響區網運作,就得透過流量管制或Port號封鎖,最好還是從電腦的使用管理上面下手,以維護區域網路的正常運作。文⊙林郁翔



Windows平臺好用的Sniffer工具

軟體名稱 售價 下載網址
EtherDetect 99.95美元/30天試用 http://www.etherdetect.com/download.htm
IP Sniffer  免費軟體 http://www.snapfiles.com/get/ipsniffer.html
馬上按讚加入iThome FB粉絲團

Advertisement

更多 iThome相關內容