网络排错-P2P/P4P软件消耗大量带宽

[故障报告]
最近一段时间，校园网学生宿舍许多用户反应Internet连接速度变慢，具体时段集中在下午4：00到晚上8：00，这段时间只能使用QQ聊天，完全打不开网页。

[描述故障现象]
故障时段楼层接入交换机LED指示灯狂；可以使用QQ，但无法打开网页，Ping学校的备用DNS时断时续，丢包很严重；登录核心交换机CISCO4006，使用“Show processes cpu”命令，输出结果表明，cpu在1min内的最高占用率达到89.63%。

[可能的原因]
因为故障只在高峰时期出现， 上午和下午部分时间段正常，所以排除硬件故障和配置错误（环路），重点定位软件故障：广播风暴（病毒、木马）、并发TCP连接（P2P）。

[测试]
上午，INTERNET正常连接时，利用ETHERPEEK抓包，网络传输地图大致如下：

用户报告故障出现后，利用ETHERPEEK抓包，网络传输地图如下，可以发现，越来越多的计算机开始并发连接：

通常情况下，正常的用户并发连接只有几个到几十个，而且不会同时并发访问，下面突出显示故障计算机：

[分析]
经查询，所有大并发连接的计算机的IP和MAC地址，都不是服务器，并没有提供任何网络服务，而且从抓包解码来看，也没有看到恶意的SYN攻击，交换机的访问列表对139、135、445端口流量已拒绝，可以排除病毒的干扰，那么核心交换机CPU的负担只可能来源于用户安装了P2P软件或者遭受了木马攻击（端口反弹）！进一步测试：

[测试]
查看INTERNET代理服务器日志，统计流量如下：
24小时内，排名前五名用户总输入字节为8.99GB、总输出字节为6.75GB，由于代理服务器只为普通客户提供上网服务，因此网络流出量应当高于流入量，而现在这种情况肯定不正常，只能说明局域网中有大量用户在使用P2P或类似的软件。

[测试]
根据故障计算机的IP信息找到所在的机主，查看这些计算机，均安装有PPLIVE（一种多点下载的在线视频软件），大部分是在安装软件时被强制安装的，并且下午下课后，有不少同学就打开这个软件在线看电影或电视，因此，大流量的TCP连接拖累了核心交换机的CAT4 Mgmt LoPri进。确定故障为此软件所为！

[排除故障]
在核心交换机上设置IP访问列表，并将其应用到代理服务器所在的VLAN，内容如下：
Access-list 110 deny tcp any any range 3076 3077
Access-list 110 deny udp any any range 3076 3077
Access-list 110 deny tcp any any eq 3389
Access-list 110 deny tcp any any range 4661 4672
Access-list 110 deny tcp any any range 6881 6890
Access-list 110 deny tcp any any eq 8008
Access-list 110 deny tcp any any gt 8081
Access-list 110 deny udp any any gt 8081
Access-list 110 deny icmp any any
Access-list 110 permit ip any any

[排除故障]
开始一段时间，故障排除，INTERNET访问速度得到了提升。然而，过了一周，故障又像以前一样了。使用ETHERPEEK抓包，和前次出现的情况一样，大量的并发连接充斥了网络！经查，这些新的P2P软件均具备随机修改默认TCP端口的功能，原来的访问列表已失去作用！

[排除故障]
修改访问列表，只开放常用端口，禁用其它端口：
Access-list 190 permit tcp any any range ftp smtp
Access-list 190 permit tcp any any eq domain
Access-list 190 permit udp any any eq domain
Access-list 190 permit udp any any eq tftp
Access-list 190 permit tcp any any rang www 81
Access-list 190 permit tcp any any rang pop3 nntp
Access-list 190 permit tcp any any eq 443
Access-list 190 permit tcp any any eq 1433
Access-list 190 permit tcp any any eq 2049
Access-list 190 permit tcp any any rang 6667 6668
Access-list 190 permit udp any any eq 8000
Access-list 190 deny any any

[总结] 鉴于P2P软件可以由用户修改端口号，只限制默认端口的方式已不再有效，因此，需改变IP访问列表的策略，即拒绝一切只开放特定端口，从而基本拒绝了迅雷、在线视频等用户的使用。