林洋

（吉林廣播電視大學(xué)遠(yuǎn)程教育技術(shù)中心，吉林 長(zhǎng)春 130022）

簡(jiǎn)論校園IT系統(tǒng)中的故障檢查
——以幾次故障處理過(guò)程為例

林洋

（吉林廣播電視大學(xué)遠(yuǎn)程教育技術(shù)中心，吉林 長(zhǎng)春 130022）

校園網(wǎng)IT系統(tǒng)的運(yùn)維相對(duì)簡(jiǎn)單，但出現(xiàn)故障在所難免，本文從硬件、網(wǎng)絡(luò)、業(yè)務(wù)三個(gè)角度出發(fā)，以幾個(gè)故障處理為例，討論校園網(wǎng)的網(wǎng)絡(luò)故障處置方法和運(yùn)維思路。

運(yùn)維；檢查；故障管理

IT系統(tǒng)具備相當(dāng)?shù)膹?fù)雜性，為保障其可靠運(yùn)行，在系統(tǒng)設(shè)計(jì)階段即應(yīng)進(jìn)行合理的拓?fù)湟?guī)劃和架構(gòu)設(shè)計(jì)，仔細(xì)考慮當(dāng)前系統(tǒng)建設(shè)需求和未來(lái)的需求增速；進(jìn)行設(shè)備選擇時(shí)，在滿足當(dāng)前需求的前提下，需要權(quán)衡各個(gè)設(shè)備在價(jià)格和性能方面的平衡。

盡管如此，與所有網(wǎng)絡(luò)管理者的意愿相違，IT系統(tǒng)通常處于不穩(wěn)定的運(yùn)行狀態(tài)之中，它隨時(shí)可能因?yàn)楦鞣N各樣的環(huán)境威脅、惡意攻擊以及源自于硬件和軟件的沖突甚至服務(wù)等故障導(dǎo)致業(yè)務(wù)崩潰。因此，網(wǎng)絡(luò)管理員還需要提前制定各類故障的對(duì)應(yīng)處理規(guī)劃和應(yīng)急方案，以盡量保障系統(tǒng)的穩(wěn)定、持續(xù)和可靠運(yùn)行；在網(wǎng)絡(luò)運(yùn)行期間，管理員應(yīng)定期或不定期從多個(gè)維度對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行檢查，包括硬件運(yùn)行狀態(tài)、數(shù)據(jù)包狀態(tài)、服務(wù)狀態(tài)、生產(chǎn)業(yè)務(wù)狀態(tài)等。事實(shí)上，對(duì)網(wǎng)絡(luò)運(yùn)維管理而言，預(yù)防手段遠(yuǎn)比故障的及時(shí)處理更加重要。

我校網(wǎng)絡(luò)系統(tǒng)拓?fù)浣Y(jié)構(gòu)（2008年）

本文以幾個(gè)故障的實(shí)際處置為例，嘗試探討校園IT系統(tǒng)中的運(yùn)維方法。

一、交換機(jī)端口/板卡故障

學(xué)校在早期的網(wǎng)絡(luò)建設(shè)中，從節(jié)省資金考慮，并未設(shè)置完整的網(wǎng)絡(luò)接入層，因此大量教師所屬的終端電腦直接通過(guò)雙絞線上行接入核心交換機(jī)，為此核心交換機(jī)配置了多個(gè)高密度千兆電口板。這種做法的好處是網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)簡(jiǎn)單，終端PC接入互聯(lián)網(wǎng)的物理路徑最短，效率最高，網(wǎng)絡(luò)管理手段簡(jiǎn)單、直接且有效；但這種結(jié)構(gòu)在網(wǎng)絡(luò)體系的安全運(yùn)行方面存在很大風(fēng)險(xiǎn)。某日雷陣雨，第二天網(wǎng)絡(luò)中心即接到終端用戶的故障申報(bào)，部分終端無(wú)法聯(lián)網(wǎng)，且顯示為本地網(wǎng)絡(luò)連接物理斷開(kāi)。經(jīng)檢查，發(fā)現(xiàn)故障范圍局限在核心交換機(jī)的特定板卡，且同時(shí)存在于該板卡的第1-8端口。根據(jù)板卡的廠家描述，該48口千兆板卡的物理結(jié)構(gòu)為每8個(gè)端口由一塊芯片集中處理網(wǎng)絡(luò)請(qǐng)求，因此實(shí)際上48個(gè)電口數(shù)據(jù)由6個(gè)處理芯片分別處理，并最終匯聚到核心交換機(jī)的背板通道。根據(jù)以上信息，結(jié)合現(xiàn)場(chǎng)實(shí)地考察，又發(fā)現(xiàn)出現(xiàn)故障的辦公室大部分位于樓宇頂層。據(jù)此我們可以做出推斷：雷陣雨發(fā)生后，終端計(jì)算機(jī)和雙絞線鏈路上堆積了大量電能，而無(wú)論是網(wǎng)卡還是交換機(jī)板卡，都只能在較小范圍的弱電區(qū)域工作，當(dāng)終端集中開(kāi)機(jī)，較高電壓帶動(dòng)電流通過(guò)雙絞線，擊穿了這8個(gè)端口的后端處理板。事實(shí)上在事后的故障檢查中，還發(fā)現(xiàn)了一些網(wǎng)卡損壞的情況。

在網(wǎng)絡(luò)設(shè)計(jì)和規(guī)劃中，盡管預(yù)算有限，也應(yīng)考慮環(huán)境因素對(duì)網(wǎng)絡(luò)安全體系的重大影響，并作出合理安排。如上例所述，對(duì)存在雷擊風(fēng)險(xiǎn)的終端電腦、設(shè)備應(yīng)盡早部署防雷擊策略，同時(shí)增加網(wǎng)絡(luò)接入層設(shè)備部署，使得風(fēng)險(xiǎn)發(fā)生時(shí)，縮小設(shè)備故障影響的范圍以及降低設(shè)備資源損失。

二、基于IP的故障檢查

網(wǎng)絡(luò)層IP常見(jiàn)故障主要有兩種：ARP攻擊和IP盜用。

2006年至2008年是ARP病毒泛濫非常嚴(yán)重的時(shí)期，此后主要IT設(shè)備廠家和軟件廠家針對(duì)ARP提出了許多管理策略和攻擊防護(hù)手段，然而直到今日，ARP攻擊仍舊是校園網(wǎng)內(nèi)的嚴(yán)重安全威脅之一。

以太網(wǎng)ARP數(shù)據(jù)報(bào)文格式

如圖所示，在典型的TCP/IP園區(qū)網(wǎng)中，終端和網(wǎng)絡(luò)設(shè)備需要維持自己的ARP表，用以實(shí)現(xiàn)二層地址轉(zhuǎn)發(fā)和三層網(wǎng)絡(luò)地址轉(zhuǎn)發(fā)，而攻擊者則首先獲取網(wǎng)關(guān)MAC地址，進(jìn)而偽造以太網(wǎng)ARP數(shù)據(jù)包，將自己的MAC地址置于廣播報(bào)文源地址中，并在二層域中廣播，所有接收廣播報(bào)文的終端被迫修改網(wǎng)關(guān)MAC地址（在沒(méi)有防護(hù)的情況下），使得數(shù)據(jù)流向從正常的網(wǎng)關(guān)地址轉(zhuǎn)移到偽裝網(wǎng)關(guān)的地址上來(lái)。此舉的主要目的是欺騙，并獲取敏感信息，但大量數(shù)據(jù)的異常流向，會(huì)導(dǎo)致整個(gè)網(wǎng)絡(luò)效率低下，并阻礙多數(shù)數(shù)據(jù)包返回到正確地址，因此用戶無(wú)法正常連接到互聯(lián)網(wǎng)。

對(duì)于地址欺騙，普遍的做法是使用帶網(wǎng)管的網(wǎng)絡(luò)設(shè)備開(kāi)啟ARP攻擊防護(hù)，確定合理的MAC刷新閾值，以減少網(wǎng)絡(luò)風(fēng)險(xiǎn)。在終端位置，可以考慮使用ARP防護(hù)軟件或其他綜合安全軟件，自動(dòng)綁定網(wǎng)關(guān)地址，拒絕ARP欺騙。

校園網(wǎng)內(nèi)常見(jiàn)的網(wǎng)絡(luò)故障還包括IP地址盜用。在很多情況下，網(wǎng)絡(luò)中的一些位置、某些部門(mén)不適合實(shí)施DHCP分配策略，此時(shí)需要對(duì)所有相關(guān)終端手工分配IP地址，但網(wǎng)絡(luò)管理者無(wú)法總是要求用戶始終保持IP地址正確，而事實(shí)上用戶惡意修改地址的情況也經(jīng)常發(fā)生，修改者并不了解整個(gè)網(wǎng)絡(luò)的拓?fù)淝闆r和IP規(guī)劃，隨意配置IP，經(jīng)常導(dǎo)致其他同IP用戶無(wú)辜斷網(wǎng)。

對(duì)于IP地址分配，網(wǎng)絡(luò)管理人員需要在網(wǎng)絡(luò)規(guī)劃階段仔細(xì)考慮用戶需求，對(duì)無(wú)特殊需求的用戶提供DHCP服務(wù)，對(duì)需要提供審計(jì)和存在敏感信息的部門(mén)，必須實(shí)行地址綁定措施，必要時(shí)額外分離VLAN區(qū)域，降低IP沖突風(fēng)險(xiǎn)。此外的辦法是增加網(wǎng)絡(luò)審計(jì)設(shè)備，對(duì)用戶的網(wǎng)絡(luò)連接進(jìn)行身份驗(yàn)證和計(jì)費(fèi)。

我校網(wǎng)絡(luò)中心采取了嚴(yán)格策略，即終端MAC地址、終端IP地址、鏈路、交換機(jī)端口、VLAN的完全綁定，任何終端只能從指定鏈路，以指定的地址訪問(wèn)網(wǎng)絡(luò)，否則不予接入。在網(wǎng)絡(luò)管理方面，網(wǎng)絡(luò)中心長(zhǎng)期維護(hù)學(xué)校全網(wǎng)的地址綁定表格，每次變動(dòng)都需要再次登記，從而保證了用戶的合法網(wǎng)絡(luò)權(quán)益，并對(duì)非法用戶的連接請(qǐng)求進(jìn)行管理和直接拒絕。2008年起，在我校接入帶寬十分緊張的情況下，網(wǎng)絡(luò)中心通過(guò)這樣嚴(yán)格的綁定策略，使得用戶的基本接入需求得到有效保障。

三基于業(yè)務(wù)的健康檢查

作為對(duì)外提供服務(wù)的窗口，學(xué)校通常需要建設(shè)專署網(wǎng)站，以WEB方式提供各種教育信息和教學(xué)服務(wù)，但提供服務(wù)即意味風(fēng)險(xiǎn)，風(fēng)險(xiǎn)既來(lái)自外部，也來(lái)自內(nèi)部。

2008年12月30日，我校對(duì)外網(wǎng)站窗口遭受連續(xù)SQL注入攻擊，主頁(yè)面臨被篡改風(fēng)險(xiǎn)，網(wǎng)絡(luò)中心立即啟動(dòng)應(yīng)急響應(yīng)，并與網(wǎng)絡(luò)安全設(shè)備廠家聯(lián)合，分析攻擊來(lái)源并進(jìn)行防護(hù)。經(jīng)檢查，發(fā)現(xiàn)對(duì)基于七層協(xié)議的SQL注入攻擊，當(dāng)時(shí)的IPS設(shè)備尚沒(méi)有可靠抵御手段，因此又改為手工檢測(cè)，最后從IIS日志中分離出攻擊代碼，代碼如下：

2008-12-3000：15：21GET/xb/file.asp

fileid=1999214006；dEcLaRe%20@S%20VaRcHaR（4000）%20SeT%20@s=cAsT（0x4445434C415245204054205641524348415228323535292C404320564152434841522832353529204445434C415245205461626C655F437572736F7220435552534F5220464F522053454C45435420612E6E616D652C622E6E616D652046524F4D207379736F626A6563747320612C737973636F6C756D6E73206220574845524520612E69643D622E696420414 E4420612……F5354415455533D302920424547494E20455845432827555044415445205B272B40542B275D20534554205B272B40432B275D3D525452494D28434F4E5645525428564152434841522834303030292C5B272B40432B275D29292B27273C736372697074207372633D687474703A2F2F636E2E64617869613132332E636E2F636E2E6A733E3C2F7363726970743E27272729204645544348204E4558542046524F4D205461626C655F437572736F7220494E544F2040542C404320454E4420434C4F5345205461626C655F437572736F72204445414C4C4F43415445205461626C655F437572736F72%20aS%20VaRcHaR（4000））；eXeC（@s）；

--80-211.117.95.48Mozilla/4.0+（compatible；+MSIE+6.0；+Windows+NT+5.0）200064421

此后，開(kāi)發(fā)人員針對(duì)網(wǎng)站專門(mén)完善了SQL注入攻擊的代碼防護(hù)，此后網(wǎng)絡(luò)中心于2014年購(gòu)置WAF防護(hù)設(shè)備，目前已能以較高水平對(duì)網(wǎng)站進(jìn)行安全加固和防護(hù)。

從這次攻擊的過(guò)程來(lái)看，基于防火墻/IPS的傳統(tǒng)網(wǎng)絡(luò)安防體系已不能對(duì)網(wǎng)絡(luò)安全提供完整保護(hù)，特別是網(wǎng)絡(luò)需要提供對(duì)外WEB窗口時(shí)，網(wǎng)絡(luò)管理員需要重新規(guī)劃web安全體系，并與現(xiàn)有網(wǎng)絡(luò)安防體系有機(jī)整合，從抵抗病毒入侵、低水平黑客攻擊、社會(huì)工程學(xué)攻擊、跨站攻擊、網(wǎng)絡(luò)滲透甚至DDOS攻擊等多角度出發(fā)，仔細(xì)考慮網(wǎng)絡(luò)安全需要，尋找合適、合理的方法，選擇專門(mén)的防護(hù)設(shè)備，從而實(shí)現(xiàn)策略可靠的網(wǎng)絡(luò)安全部署。目前較為普遍的作法是在網(wǎng)絡(luò)拓?fù)渲性O(shè)計(jì)明確的網(wǎng)絡(luò)邊界，如用戶區(qū)域、計(jì)費(fèi)區(qū)域、DMZ區(qū)域、存儲(chǔ)區(qū)域等，而WEB服務(wù)通常位于DMZ區(qū)域，在網(wǎng)絡(luò)管理中，需要在防火墻上配置各區(qū)域的邊界策略，嚴(yán)格數(shù)據(jù)流向?qū)徍舜胧?，在可能的情況下對(duì)數(shù)據(jù)進(jìn)行多層協(xié)議審核，并保留系統(tǒng)運(yùn)行日志。

四、網(wǎng)絡(luò)故障管理的基本思路

不出現(xiàn)故障的網(wǎng)絡(luò)才是健康的網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)管理者而言，這是網(wǎng)絡(luò)運(yùn)維和管理的最終目標(biāo)，在達(dá)到這樣理想的狀態(tài)之前，本文提出以下建議：

1.未雨綢繆：在網(wǎng)絡(luò)設(shè)計(jì)和規(guī)劃階段，仔細(xì)審核和考慮網(wǎng)絡(luò)需求，網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)應(yīng)具有彈性，IP合理規(guī)劃，網(wǎng)絡(luò)核心和關(guān)鍵設(shè)備應(yīng)具備冗余能力，對(duì)各種意外和風(fēng)險(xiǎn)有所準(zhǔn)備。

2.認(rèn)真細(xì)致：網(wǎng)絡(luò)管理和運(yùn)維是一項(xiàng)長(zhǎng)期且枯燥的工作，網(wǎng)絡(luò)管理人員應(yīng)熟悉每一臺(tái)設(shè)備、每一個(gè)業(yè)務(wù)、每一項(xiàng)服務(wù)的初始狀態(tài)、正常狀態(tài)和故障狀態(tài)，并在問(wèn)題即將出現(xiàn)前有所警覺(jué)，在故障發(fā)生時(shí)能及時(shí)發(fā)現(xiàn)。

3.完善日志：在網(wǎng)絡(luò)運(yùn)維中，一個(gè)有意思的現(xiàn)象是大部分故障的發(fā)生具備前后關(guān)聯(lián)性，網(wǎng)絡(luò)管理員應(yīng)當(dāng)做好網(wǎng)絡(luò)運(yùn)維日志，在系統(tǒng)運(yùn)行正常時(shí)記錄設(shè)備運(yùn)行狀態(tài)，在設(shè)備故障時(shí)記錄故障狀態(tài)，在狀態(tài)比對(duì)中經(jīng)常能發(fā)現(xiàn)故障具體位置和原因；此外，對(duì)故障處理的完整記錄也有助于下次故障的原因倒查，因此保持完善的網(wǎng)絡(luò)運(yùn)維日志，可以減少故障定位時(shí)間，加速故障處理進(jìn)程。

4.經(jīng)常檢查：大多數(shù)的網(wǎng)絡(luò)風(fēng)險(xiǎn)發(fā)生在網(wǎng)絡(luò)管理員最懈怠的時(shí)候，特別是黑客攻擊概率在每天的零時(shí)前后最高。因此網(wǎng)絡(luò)管理員應(yīng)當(dāng)制定網(wǎng)絡(luò)安全檢查制度，定期或不定期對(duì)網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)進(jìn)行檢查，發(fā)現(xiàn)風(fēng)險(xiǎn)及時(shí)處理，防止風(fēng)險(xiǎn)擴(kuò)大并變成具體威脅。

5.應(yīng)急策略：網(wǎng)絡(luò)故障的發(fā)生總是意外的，突發(fā)的情況更能考驗(yàn)整個(gè)網(wǎng)絡(luò)的綜合素質(zhì)。因此管理員應(yīng)盡量事先考慮所有的安全風(fēng)險(xiǎn)，制定風(fēng)險(xiǎn)預(yù)案，在故障發(fā)生時(shí)應(yīng)有法可依，有據(jù)可查，快速恢復(fù)業(yè)務(wù)。

網(wǎng)絡(luò)運(yùn)維是長(zhǎng)期持續(xù)的過(guò)程，保障網(wǎng)絡(luò)健康是長(zhǎng)期的和艱苦的工作，網(wǎng)絡(luò)管理員需要以耐心、細(xì)致的態(tài)度對(duì)網(wǎng)絡(luò)進(jìn)行管理。本文僅從我校網(wǎng)絡(luò)運(yùn)行的實(shí)踐經(jīng)驗(yàn)出發(fā)，討論網(wǎng)絡(luò)管理的基本方法，拋磚引玉，懇請(qǐng)廣大同行指導(dǎo)。

［1］彭海深.網(wǎng)絡(luò)故障診斷［M］.科學(xué)出版社，2007.

［2］李強(qiáng).淺談?dòng)?jì)算機(jī)網(wǎng)絡(luò)故障診斷和排除方法［J］.中國(guó)電子商情：科技創(chuàng)新，2013，（22）.

［3］Tursunjan.Mama.關(guān)于網(wǎng)絡(luò)故障診斷和排除方法的討論［J］.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2013，（11）.

TP391

A

1008-7508（2015）10-0144-03

2015-07-11

林洋（1980-），吉林長(zhǎng)春人，吉林廣播電視大學(xué)遠(yuǎn)程教育技術(shù)中心講師，研究方向：網(wǎng)絡(luò)運(yùn)維。