一次内网BBS故障排查
2022-8-26 00:0:20 Author: mp.weixin.qq.com(查看原文) 阅读量:32 收藏

创建: 2022-08-25 22:06
http://scz.617.cn:8/network/202208252206.txt

NS宇宙的古早内网BBS事实上已弃用,之所以未直接下线,考虑到大量历史技术文档还在其上,且仍有学习价值。我倒是一直为之添砖加瓦,将之用作技术文档备份基地。

上个月2022年大型那啥活动期间,该BBS临时下线。活动结束后才重新上线,却发现它经常挂掉,外在表现是浏览器访问时无响应,或提示Oops错。每次LCG重启OS后能正常一阵子,几分钟后再次挂掉。寻思之前正常了十八年,不可能是BBS本身有啥幺蛾子,找LCG要了管理员密码,远程登上去排查。

BBS的WEB部分在A机,数据库在B机。LCG之前简单排查过,每当BBS挂掉时,从A机无法访问B机1433/TCP。我RDP到A机,简单看了一下CPU、内存、硬盘使用率,无异常峰值。"telnet B 1433"确实不行,"ping B"也不行,这就有点奇怪了,一般来说B不大可能单独封禁入站ICMP。看A机上有Wireshark,准备抓包,顺带下载sysinternals工具集,却发现A机网速异常缓慢。"arp -a"看了一眼,临时起意"arp -d B",重新"ping B",意外发现通了,然后B机1433/TCP可达。此刻BBS已能正常访问,无需重启A机。虽然没有Wireshark抓包,也能猜个大概,可能是A机ARP缓存被污染,其中的B条目MAC地址不对。这只是猜测,我没有B机管理员账号。决定等几分钟,待其再次挂掉时重新检查A机ARP表中B条目,检查B的MAC地址是否出现过异常变动。

几分钟后BBS如期而挂,RDP上去检查A机ARP表,表中B的MAC地址未出现异常变动。至此判定问题不在A机,而是B机的ARP表出幺蛾子了。我这么想的,"arp -d"之后ping,会触发ARP请求,这种报文会刷新B机ARP表;重启A机后从A机访问B机,也会触发ARP请求,同样会刷新B机ARP表。B机ARP表中A条目正常时,BBS正常;B机ARP表中A条目异常时,A机与B机之间IP层通信受阻,外在表现包括但不限于ping不通、1433/TCP不可达。该猜测解释得通现有现象,但我没有B机管理员账号,联系LCG去检查B机ARP表。

LCG在B机ARP表中果然发现异常A条目,表中A的MAC不是A的,是一个未知MAC,我的猜测得到确认。LCG去交换机上查了该未知MAC,对应到另一台设备,后者被错误配置了A机IP。换句话说,此处存在IP冲突,但不知为何A机本身未告警,那台设备亦未告警,可能与网络拓扑相关,但我不是信管部的,不清楚具体情况。这个IP冲突致使B机ARP表中A条目不稳定,有时指向A机,有时指向另一台设备。

找到终极原因之后,解决之道显而易见,给另一台设备配置其他IP。

没啥高深技术卷入其中,只是觉得排查过程值得记一笔。以前写过另一篇类似风格的

《一次离奇的DHCP故障排查》
http://scz.617.cn:8/windows/201806181530.txt

文章来源: http://mp.weixin.qq.com/s?__biz=MzUzMjQyMDE3Ng==&mid=2247486136&idx=1&sn=7bff5b12062daca24333afbbe39f3284&chksm=fab2c987cdc54091e888e3e20f5a7be363d1ac0bf4bc38246f52232805593a0b2a689d78d49a#rd
如有侵权请联系:admin#unsafe.sh