Linux網絡連接故障排除(下)

三、Linux網絡故障的解決問題的思路

Linux網絡故障排除應當遵循先硬件後軟件的方法。因為硬件如果出現物理損壞那麼如何設定網絡都不能解決故障。解決問題的方法可以從自身Linux計算機的網卡查起，然後到服務器、集線器、路由器等硬件。如果確定硬件沒有問題了再來考慮軟件的設定。

1檢查網卡工作狀況

Linux下的網卡不能工作可能是以下原因之一：

1.網卡沒有被Linux檢測到

2.沒有與之相應的內核模塊；

3.該模塊沒有被加載；

4.Linux系統不支持你網卡。

詳細情況可以參考筆者的Linux服務器網卡驅動安裝及故障排除（鏈接：http://www.ccw.com.cn/server/yyjq/htm2005/20050817_15OF4.htm需要補充一點是調整自適應工網卡的作模式，現在網卡大多是自適應工作模式，配置網卡參數時我很少考慮它工作模式，但是路由器、交換機、代理服務器等通信量比較大的關鍵設備上，應該為它指定正確的工作模式，這樣可以防止故障。Linux環境下，可以使用系統自帶的工具mii-tool命令來配置網卡工作模式。

mii-tool[-VvRrwl][-A media,...|-Fmedia][interfac...]

media:100baseTx-FD,100baseTx-HD,10baseT-FD,10baseT-HD,100baseTx,10baseT

主要選項：

-V表示檢查網卡現在工作模。

F表示強http://.行修改。

r恢復網卡的自適應工作模式。

w顯示監測鏈路狀態。

A使用高級修改模式。

l表示將修改記錄寫入syslog日志文件。

media可選的模式有100baseTx-FD100baseTx-HD10baseT-FD10baseT-HD等。

Interfac代表所選擇的網卡，如eth0eth1等。

1強http://.制網卡工作在100M雙工模式下，輸入命令：

mii-tool-F100baseTx-FDeth0

2恢復網卡的自適應工作模式，輸入命令：

mii-tool-reth0

2確認局域網內網絡連接情況

網卡設定確認沒有問題之後，接下來要確認局域網內網絡連接情況。根據圖－2網絡拓撲結構，對集線器1組成的局域網的要求有下面幾點：

1客戶機IP設定

假設子網為192.168.1.0/24那麼局域網內所有計算機的IP應該介於192.168.1.1192.168.1.254且所有的計算機子屏蔽網絡均為255.255.255.0IP所有的計算機都不可以重復。

2網關

假設LinuxIP為192.168.1.2那麼局域網內所有客戶機的網關是192.168.1.2

3Window端的通信協議

局域網內其它Window系統的通信協議僅需要TCP/IP及NetBUEI即可，如果裝置過多的通信協議可能會造成聯機過慢。

4Window端工作組與計算機名稱

假如需要資源共享，那麼就必須在Window系統中建立文件共享，並且所有的計算機工作組必需相同，但計算機名稱不能相同。

3DNS故障排除

Linux域名服務器使用的Bind9版本。域名服務器包括數據庫的局部段的信息,並可提供被稱之為解析器的客戶來訪問。DNS域名解析服務是網絡的基礎服務，承擔著將域名翻譯為計算機可以識別的IP地址，以及尋找IP地址對應的逆向翻譯工作。一旦DNS服務出現故障，用戶就無法通過采用域名的方式進行互聯網訪問，同時相應的郵件服務器也會由於無法進行正常的域名解析而出現故障。由於DNS服務對於網絡非常重要，所以也成為網絡故障排除的重要任務。如果在Linux網絡中無法進行域名解析，很可能是沒有在外地指定有效的域名服務器，通常這種情況比較罕見。大多數DNS故障是因為配置文件的語法錯誤，或者是對計算機分配了錯誤的地址造成的DNS就是DomainNameSystemDNS服務器可以分為三種，高速存服務器（Cache-onliserver主服務器（PrimariNameserver輔助服務器（SecondNameServerLinux下主要DNS配置文件：Linux上的域名服務由name守護進程控制，該進程從主文件：/etc/named.conf中獲取信息。

包括一族將主機名稱映射為IP地址的各種文件：下面是name配置文件族詳細內容。表－2name配置文件族（請看附件）

當進行DNS故障診斷時，可參照下面的方法：

1對全部記錄檢查和確認主機名稱的拼寫，記住絕對地址是以“.結尾的．

2如果在區文件中做了任何修改，務必修改SOA 記錄中的序列號，這將保證服務器正確地重新上載文件。

3確定輸入到主區的名稱和IP地址匹配反向指針文件中的反向指針信息．

4檢查防火牆相關程序。

5使用命令檢查。pingdignslookupnamed-checkzonnamed-checkconf

6使用dlint軟件檢查DNS故障。dlint一個專門檢查DNS配置文件開放源代碼軟件。最新版本：1.4.0官方網址：http://www.domtools.com/dns/dlint.shtml

7另外如果客戶端無法進行域名解析，最可能原因是沒有在外地指定有效的域名服務器，這種情況比較罕見。解決方法：一般修改和域名服務相關的文件如/etc/host或 /etc/resolv.conf這些文件中添加有效的域名服務器的IP地址就可以解決。如果判斷不是外地域名解析的問題，例如在外地可以解析公司域名，但外面的客戶無法正常解析公司域名，則需要和域名注冊服務提供商聯系，一同解決問題。因為此種情況的發生，可能是公司系統中的IP地址和注冊的域名不對應的原因造成的

4對於Linux服務器攻擊造成網絡故障

對於Linux服務器來說，最大的危險是黑客攻擊。對Linux服務器攻擊的定義是攻擊是一種旨在妨礙、損害、削弱、破壞Linux服務器平http://www.xsyzj.cn安的未授權行為。攻擊的范圍可以從服務拒絕直至完全危害和破壞Linux服務器。最嚴重的遠程用戶獲得根權限。Linux網絡中超級用戶擁有最高權限。一旦遠程用戶獲得根權限你網絡隨時可能被摧毀。所以安排IDS防止這類網絡故障的選擇。當然你還要采取其他措施:一個配置適當的防火牆不僅是系統有效應對外部攻擊的第一道防線，也是最重要的一道防線。新系統第一次連接上Internet之前，防火牆就應該被安裝並且配置好。防火牆配置成拒絕接收所有數據包，然後再打開允許接收的數據包，將有利於系統的平http://www.xsyzj.cn安。防火牆的具體設置方法請參見iptabl使用方法。

5Linux病毒造成網絡故障的排除

Linux操作系統一直被認為是Window系統的勁敵，因為它不只平http://www.xsyzj.cn安、穩定、利息低，而且很少發現有病毒傳播。但是隨著越來越多的服務器、工作站和個人電腦使用Linux軟件，電腦病毒制造者也開始攻擊這一系統。對於Linux系統無論是服務器，還是工作站的平http://www.xsyzj.cn安性和權限控制都是比較強http://.大的這主要得力於其優秀的技術設計，不只使它作業系統難以宕機，而且也使其難以被濫用。Unix經過20多年的發展和完善，已經變得非常堅固，而Linux基本上繼承了優點。Linux裡（電腦自動關機），如果不是超級用戶，那麼惡意感染系統文件的順序將很難得逞。當然，這並不是說Linux就無懈可擊，病毒從本質上來說是一種二進制的可執行的順序。沖擊波(Blast等惡性程序雖然不會損壞Linux服務器，但是卻會傳播給訪問它Window系統平http://www.xsyzj.cn台的計算機。

Linux平http://www.xsyzj.cn台下的病毒分類:

1.可執行文件型病毒。

2.蠕蟲（worm病毒。

3.腳本病毒。

4.後門順序：廣義的病毒定義概念中，後門也已經納入了病毒的范疇。活躍在Window系統中的後門這一入侵者的利器在Linux平http://www.xsyzj.cn台下同樣極為活躍。從增加系統超級用戶賬號的簡單後門，利用系統服務加載，共享庫文件注射，rootkit工具包，甚至可裝載內核模塊（LKMLinux平http://www.xsyzj.cn台下的後門技術發展非常幼稚，隱蔽性強http://.，難以清除。Linux系統管理員極為頭疼的問題。

綜合以上介紹，可以看到總體來說計算機病毒對Linux系統存在較小的危險。但是由於各種原因在企業應用中往往是Linux和Window操作系統共存形成異構網絡。服務器端大多使用Linux和Unix桌面端使用Window所以為Linux防范病毒戰略分成兩（電腦沒聲音）個部分：

1．針對Linux自身（服務器和使用其作為桌面的計算機）防范戰略。

可執行文件型病毒、蠕蟲（worm病毒、腳本病毒的防范通過裝置GPL查殺病毒軟件基本可以防范。服務器端可以使用AntiVirhttp://www.hbedv.com/工作在命令行下的運行時可以較少占用系統資源。桌面用戶可以選擇tkantivirhttp://www.sebastian-geiges.de/tkantivir/用Tcl/Tk寫的可以運行在任何X-Window環境下面，比方KDE或Gnome等。

對於後門順序防范可以采用LIDShttp://www.lids.org/和Chkrootkithttp://www.chkrootkit.org/LIDSLinux內核補丁和系統管理員工具(lidsadm加強http://.了Linu內核。可以維護dev/目錄下的重要文件。而Chkrootkit可以檢測系統的日志和文件，檢查是否有惡意程序侵入系統，並且尋找關聯到不同惡意順序的信號。最新版本的Chkrootkit0.45可以檢測出snifferTrojanwormrootkit等59種。

2.針對使用Linux服務器後端的Window系統的病毒防范戰略。

許多企業使用代理服務器接入互聯網，許多用戶Window系統進行都是進行HTTP網頁浏覽和文件下載時感染病毒，所以可以在代理服務器上加掛一個病毒過濾器，對用戶浏覽的HTTP網頁進行病毒檢測，發現有用戶浏覽網頁感染病毒的狀況即由代理服務器進行阻斷，丟棄帶有病毒的請求，將不安全的進程阻止在代理服務器內，禁止帶有病毒的數據向客戶端計算機傳播。squid一款非常優秀的代理服務器軟件，但是並沒有專門的病毒過濾功能。可以考慮使用德國開放源碼愛好者開發的一款基於Linux病毒過濾代理服務器—HA VPhttp://www.server-side.de/HA VP病毒過濾代理服務器軟件既可以獨立使用，也可以與Squid串聯使用，增強http://.Squid代理服務器的病毒過濾功能。

提供郵件服務是Linux服務器中重要應用。可以使用ClamA Vhttp://www.clamwin.com/ClamA V全名是ClamAntiViru跟Liunx一樣強http://.調公開順序代碼、免費授權等觀念，ClamA V目前可以偵測超過40,00