iT邦幫忙

0

網路查修問題、

前輩們好,
最近公司外點一直有網路斷線問題...
架構圖如下https://ithelp.ithome.com.tw/upload/images/20220115/20134886q6G3m0g6NV.jpg
電腦都是手動設定固定IP,A棟3樓的9台電腦不定時會無法上網(非固定台),會顯示無法辨識的網路(使用內建的診斷會提示無法使用預設的閘道),當下做的處理如下
A(可上網電腦)B(無法上網電腦)
1.將A、B電腦網路線交換=>A還是可以上網、B還是無法上網
2.B電腦更換交換器上的PORT=>無法上網
3.B電腦 Ping 3樓交換器IP=>有通 Ping 防火牆IP=>不通
4.後來突然所有設備都無法上網,於是將防火牆重開=>不通(到交換器有通)
5.所有設備全部重開=>全部都正常

過了一個晚上,今天在不同的電腦C又發生一樣的問題...過了半小時D電腦也無法上網Orz
不曉得到底是哪裡出了問題,想詢問前輩們可能是哪裡出了問題..如有需要測試什麼或需要什麼資訊小弟盡快補上。

黃彥儒 iT邦高手 1 級 ‧ 2022-01-15 14:38:54 檢舉
鯊魚抓包阿…
Willy iT邦新手 5 級 ‧ 2022-01-15 14:39:02 檢舉
只能檢查囉
檢查 A棟 CS1910 路由器設定
檢查 是不是有DHCP派發 導致是否有IP衝突
檢查 IP Gateway 有沒有設定對
檢查 防火牆政策

不然就換一台路由器備機試試看囉
mathewkl iT邦高手 1 級 ‧ 2022-01-15 20:47:47 檢舉
外點都有FortiGate了通報出事時怎麼沒有先VPN過去看FortiGate紀錄有無異常資訊,還放著好幾天用猜的在修問題,從記錄抓問題可以少走一些冤枉路...
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
Gary
iT邦好手 1 級 ‧ 2022-01-15 15:41:46

從圖中與您的描述看所有樓層與兩棟的網路都是統一經過FG30E防火牆,似乎都是只有提到A棟3F無法上網直指CS1910交換器與FG30E之間的狀況,而FG30E對其他的交換器並無此狀況,而您說的A電腦可以上上網是指A棟3F在CS1910交換器下嗎?另外有以下問題思考:

  1. 同時比較上網與不能上網電腦各自Route Print所指向的GW是一樣的嗎?
  2. DHCP拿到的IP是否正確?
  3. 是否比對過圖中三台交換器上對於一般電腦連接的網路配置
  4. 是否比對過防火牆規則內對外的連線條件有所差異,是否有Log紀錄可以檢查
  5. 有沒有可能是IP分配衝突或Switch產生spanning tree導致一段時間後中斷
  6. 是否有防毒或其他中毒跡象導致(最不希望發生的情況)
看更多先前的回應...收起先前的回應...

感謝前輩回覆,
1.2.的部分我們電腦是手動設定IP,我去確認沒有問題
3.的部分 我們交換器目前都沒有設定,純粹當HUB使用
5.部份我也有確認過沒有問題
4.6我目前在防火牆上看到這個紀錄
https://ithelp.ithome.com.tw/upload/images/20220115/20134886sPQuNGhbRQ.png
後來將D電腦手動更改另一個IP又恢復正常,但是變成E電腦無法連線
有在防火牆發現斷網前的電腦會對A電腦(目的電腦)產這這筆紀錄
這樣是我的A電腦有問題嗎?

https://ithelp.ithome.com.tw/upload/images/20220115/20134886Qj68HETos8.png
補上主畫面

Gary iT邦好手 1 級 ‧ 2022-01-15 17:42:03 檢舉

有點像是TCP Reset / Syn Spoofing,如果把A電腦先關機呢?另外跟您的廠商報修查詢此資安問題
https://ithelp.ithome.com.tw/upload/images/20220115/20025481jEqDG9DcSg.png
https://ithelp.ithome.com.tw/upload/images/20220115/2002548185kr8LxoIU.png

感謝前輩的回覆,
目前發現就算A電腦更換IP、斷網也還是有一樣的問題(攻擊IP變成更換過的IP)

0
mytiny
iT邦超人 1 級 ‧ 2022-01-16 01:19:16

如果熟Fortigate的運作
粗略一看會說這是DDoS攻擊
不過缺少相關的政策及介面說明
同時也不知是否單一IP或眾多IP來源
所以又仔細看了一下,結果...

如果最近沒有電腦中毒的情況
(在下猜測可能性比較低)
應該就是DDoS的Policy設定有誤

之前樓主說防火牆都是由總公司設定
那就請總公司來解決一下,精進設定
如果是新買的防火牆
就請SI來協助一下,技術支援
如果是樓主自己設的
回想一下到底設了什麼才開始有這種現象

看更多先前的回應...收起先前的回應...

感謝前輩的回覆,
最近防火牆的政策都沒有改變(其實是一直都以來都沒變)
最近有做的動作只有印表機廠商來裝FTP程式設定每台電腦可以直接掃描至User的D槽(不曉得跟這個有沒有關係?)因為裝好隔天就出現問題

還想請教前輩說的"缺少相關的政策及介面說明 同時也不知是否單一IP或眾多IP來源"這部分是需要哪個資訊呢?

昨天還發現原本是B電腦有攻擊紀錄(無法上網)改了IP後就正常了結果換成C電腦來對A電腦發出上圖的攻擊紀錄然後C電腦無法上網..

雖然已經約好總公司的資訊協助了~還是想知道一下相關的知識,再請前輩告知,謝謝。

假如裝了某東西才開始出現問題,就從這方面著手吧
畢竟你等於架設一個FTP SERVER
就有可能導致異常的連入紀錄等等,也有可能觸發DDOS的判定

常態發生不能上網的電腦
事務機的FTP匯出設定後刪除試試看,
看有沒有改善就可以知道了

mytiny iT邦超人 1 級 ‧ 2022-01-17 13:17:17 檢舉

單一IP或眾多IP來源

是樓主貼上的LOG,source被遮掩,主要希望知道是否Log紀錄都都是同一來源,還是有很多來源,不須知道確實IP位置,是要判斷攻擊狀況

缺少相關的政策及介面說明

看不出是從哪個介面到哪個介面的攻擊,判斷攻擊方向有時很重要

因沒有看到DDoS的設定內容,在下主觀判斷主要原因為
"DoS的Policy設定有誤",需針對設定來做研究情況
在下先前也猜可能因為印表機的緣故,但
網路查修需要多方資訊研判,有時很難隔空抓藥
樓主如果對以上所述仍不清楚
可以站內私訊後直接告知判斷錯誤為何

感謝前輩的回覆,
後來發現是新增的一台WIFI機有問題,停用後就正常了,目前是換了另一台到現在都正常

mytiny iT邦超人 1 級 ‧ 2022-01-19 15:59:50 檢舉

還蠻多人關注這題的
雖然目前跟在下判斷的不相同
但能解決總是很好的
如果萬一還有相關狀況發生
歡迎再來PO資料討論

感謝前輩的回覆,
經過這幾天觀察,目前都正常了,有問題會再上來請教的,謝謝!

0
harrytsai
iT邦新手 1 級 ‧ 2022-01-17 09:09:11

這個問題比較像有設備再發送DHCP。

感謝前輩的回覆,
後來發現是新增的一台WIFI機有問題,停用後就正常了,但那台WIFI機我確認沒有開啟DHCP服務...目前是換了另一台到現在都正常

0
runan5678
iT邦研究生 1 級 ‧ 2022-01-17 16:08:43

根據上述所有回答及討論資訊,將A電腦先實體線路斷網,然後看看情況有沒有改善,
如果防火牆兼有內部網路routing的功能,是必須要檢查的地方

感謝前輩的回覆,
後來發現是新增的一台WIFI機有問題,停用後就正常了,但那台WIFI機我確認沒有開啟DHCP服務...目前是換了另一台到現在都正常

感謝前輩的回覆,
改成DHCP會無法取到IP

後來發現是新增的一台WIFI機有問題,停用後就正常了,但那台WIFI機我確認沒有開啟DHCP服務...目前是換了另一台到現在都正常

0
sleeping_fish
iT邦新手 3 級 ‧ 2022-01-18 10:40:03

因為你有表示電腦都是用固定IP,所以你可以先做1個測試。把一台電腦由固定IP 改成用DHCP,然後看會不會 得到 DHCP Server 所配發的IP,這樣就會知道是不是 不定時,IP 相沖的問題了。

感謝前輩的回覆,
改成DHCP會無法取到IP

後來發現是新增的一台WIFI機有問題,停用後就正常了,但那台WIFI機我確認沒有開啟DHCP服務...目前是換了另一台到現在都正常

0
bohan1210
iT邦新手 3 級 ‧ 2022-01-18 15:02:43

我也覺得看起來很像IP衝突的感覺....
如果之後確實是這個問題,要再Switch這端在DHCP snooping,阻止非公司的DHCP Server發送IP。
https://community.zyxel.com/tw/discussion/10287/

感謝前輩的回覆,
後來發現是新增的一台WIFI機有問題,停用後就正常了,但那台WIFI機我確認沒有開啟DHCP服務...目前是換了另一台到現在都正常

bohan1210 iT邦新手 3 級 ‧ 2022-01-19 17:52:44 檢舉

還是這台Wi-Fi的IP跟gateway衝到XD?

0
dragonforce
iT邦新手 5 級 ‧ 2022-01-18 23:21:29

如果Fortigate show TCP SYN flood log, 那就朝這方向查一下.
只是你說的A, B, C電腦都在同一網段嗎? 如果是, 如果那A, B, C真的互相攻擊, 那Fortigate也看不到, 因為在同一網段.
另外, 你說.. "最近有做的動作只有印表機廠商來裝FTP程式設定每台電腦可以直接掃描至User的D槽(不曉得跟這個有沒有關係?)因為裝好隔天就出現問題"
這句話是什麼意思? "FTP程式設定每台電腦可以直接掃描至User的D槽" ??

感謝前輩的回覆,
後來發現是新增的一台WIFI機有問題,停用後就正常了

廠商安裝的是Quick'n Easy FTP Server這個程式
讓User們能在印表機上選擇自己的電腦IP後將資料直接掃進D槽的資料夾

哇, WiFi機可以造成這種現象也是前所未聞了. 反過來請你分享更多細節了 !

小弟也不知道什麼問題..詢問總公司的資訊和廠商後回覆是"應該是某台電腦有使用某些小程式",造成中毒來發動攻擊,請我查該區的電腦,若查不到最壞的情況是全部重灌..但因為每一台電腦都有安裝防毒軟體,所以小弟認為應該不是這個狀況..
於是回想那幾天有做了兩件事情
1.請廠商協助安裝Quick'n Easy FTP Server
2.新增一台WIFI機
因為其他分點也都有安裝Quick'n Easy FTP Server都沒這個問題,所以從2.來測試,結果一把WIFI機斷線就世界和平了...

整理所有的狀況如下

該區約有10台電腦,突然A電腦無法上網(對內對外接不行),於是開始查修的旅程..原以為是A電腦網卡壞掉,正當要買外接網卡時突然該區所有電腦全部斷線,先重開交換器>無效,於是重開防火牆,第一次重開所有LAN燈號都不亮,再將所有設備重開後燈號正常且所有電腦也可正常上網..

隔天早上User回報換B電腦無法上網,這時才察覺可能是防火牆有問題,於是進入網頁介面發現有異常,將B電腦IP更改後可正常使用,接著過了半小時換C電腦無法上網...後來發現該區電腦會輪流對A電腦發出攻擊,導致IP被封鎖(防火牆上顯示的訊息),於是求救總公司、廠商後被告知應該是中毒..最後回想那幾天有做哪些事情,且有幾位前輩也回覆說可能是有設備啟用DHCP,於是把WIFI機斷線後就正常了。

小弟雖菜但確定該WIFI機DHCP是關閉的,所以最後到底是什麼問題,小弟也無法解釋..
(不好意思,做了很多處理,小弟僅能盡量說明)

我要發表回答

立即登入回答