降低集团客户局域网ARP病毒故障率.docx
《降低集团客户局域网ARP病毒故障率.docx》由会员分享,可在线阅读,更多相关《降低集团客户局域网ARP病毒故障率.docx(29页珍藏版)》请在冰豆网上搜索。
降低集团客户局域网ARP病毒故障率
降低集团客户局域网ARP病毒
故障率
中国联通乌兰察布分公司客户响应中心
“网络先锋”QC小组
CU-NEIMG-WULCB-2015-001
降低集团客户局域网ARP病毒故障率
乌兰察布分公司网络先锋QC小组
部门简介
乌兰察布分公司客户响应中心成立于2007年11月,是专职为集团客户提供服务保障的网络支撑队伍,为集团客户提供基础网络服务、延伸网络服务的售前、售中、售后的全程技术支持,重点提供售前技术支撑、网络资源核查、协调业务开通、故障处理和通信保障等服务。
小组简介
网络先锋QC小组是中国联通乌兰察布分司客户响应中心技术骨干组成,承担着互联网等相关业务的技术服务支撑工作。
自小组成立以来,积极开展QC活动,严格按照QC的PDCA四个阶段的全面质量管理理念,致力于提高客户满意度,努力为客户提供优质可靠的服务,本小组成员均具有多年的数据网络维护经验。
表一、小组概况表:
小组名称
网络先锋
成立时间
2010年8月
课题名称
降低集团客户局域网ARP病毒故障率
课题类型
自选现场型
活动时间
2014.3-2015.2
活动人数
5
注册编码
表二:
小组成员表
序号
姓名
性别
文化程度
小组分工
职责
张琰
男
本科
组长
组织实施
张鹏
男
本科
组员
资料收集和实施
李菲
男
本科
组员
资料收集和实施
王智
男
本科
组员
资料收集和实施
陈勇
男
本科
组员
资料收集和实施
名词解释(术语):
ARP病毒:
arp病毒并不是某一种病毒的名称,而是对利用arp协议的漏洞进行传播的一类病毒的总称。
arp协议是TCP/IP协议组的一个协议,用于进行把网络地址翻译成物理地址(又称MAC地址)。
通常此类攻击的手段有两种:
路由欺骗和网关欺骗。
是一种入侵电脑的木马病毒。
对电脑用户私密信息的威胁很大。
一、课题选择
1、课题名称
降低集团客户局域网ARP病毒故障率
2、选题理由
集团客户互联网接入是公司现阶段业务发展的一个重要环节,关系着公司的切身利益。
2013年11月–2014年2月集团客户互联网业务中断次数有增无减,特别是由于局域网ARP病毒导致的网络中断引起大量用户故障申告,部门领导高度重视。
我们“网络先锋”QC小组决定利用所学QC知识,自选课题“降低集团客户局域网ARP病毒故障率”通过QC活动解决这个问题。
本年度互联网ARP故障率下降50%
本部门要求
选题
本部门的症结
经调查,2013年9月至2014年2月,因ARP病毒故障导致网络中断累计295次,月均导致网络中断49.2次,超过部门要求。
经过讨论,小组决定把“降低集团客户局域网ARP病毒故障率”作为本次QC活动的课题。
根据选择的课题,我们根据PDCA的活动规律制定了本次课题的活动计划。
现状调查
2013年11月-2014年1月集团客户互联网业务中断次数持上升趋势。
如何降低网络故障次数已经成为我们急需解决的问题。
我们“网络先锋”QC小组统计了2013年9月-2014年2月的互联网中断数据,形成如下调查表:
序号
故障类别
9月
10月
11月
12月
1月
2月
小计
百分率
累计百分率
1
ARP病毒(A)
43
54
51
48
44
55
295
60.7%
60.7%
2
NAT设备故障
(B)
19
16
13
12
14
12
86
17.7%
78.4%
3
光缆中断(C)
5
6
4
5
3
5
28
5.8%
84.2%
4
光纤收发器故障(D)
4
2
1
2
3
3
15
3.1%
87.2%
5
外市电中断(E)
5
3
6
5
4
5
28
5.8%
93.0%
6
接入服务器故障(F)
1
2
1
3
4
3
14
2.9%
95.9%
7
其他(G)
6
4
3
3
1
3
20
4.1%
100.0%
合计
83
87
79
78
73
86
486
100.0%
从数统计图表中看到,ARP病毒攻击导致网络连接中断故障频次最多,占总故障数的60.7%,远高于其他故障类型。
因此ARP病毒故障是日常网络故障中存在的主要原因,只有有效解决了该问题,才能有效降低集团客户互联网的故障率。
二、设定目标
目标可行性分析
目
标
可
行
2008年因ARP病毒导到网络中断频次在月中断频次在15次/月以下的实绩
历史最好成绩
现有网络设备具有静态ARP绑定功能和MAC地址过滤功能
网络设备能力
本小组成员有较高的专业技术水平和较强的责任心和团队精神
人员素质
确定目标:
根据排列图显示,6个月内因ARP病毒导致互联网业务中断295次,月均中断达到49.2次/月。
我小组准备通过控制ARP病毒攻击率,将因ARP病毒造成集团客户网络中断频次降为15次/月以下。
三、分析原因
普通光纤局域网组网结构图
联通公司
光纤
光纤收发器
路由器交换机
我们认真分析总结了局域网ARP欺骗病毒的欺骗原理:
由于局域网的网络流通不是根据IP地址进行,而是按照MAC地址进行传输。
所以,那个伪造出来的MAC地址在A上被改变成一个不存在的MAC地址,这样就会造成网络不通,导致A不能Ping通C!
这就是一个简单的ARP欺骗。
针对调查结果和ARP欺骗的手段。
我们小组成员运用头脑风暴法认真对局域网ARP病毒导致网络中断原因进行分析,并作因果图如下:
路由器未配置ARP静态绑定
末端原因列表
序号
末端原因
1
用户终端未配置静态IP地址
2
用户终端未安装杀毒软件
3
用户终端未启用ARP防火墙
4
维护人员缺乏相关的学习培训
5
维护人员重视程度不足
6
局域网内私接路由器
7
路由器未配置ARP静态绑定
8
局域网内私拉网线
9
登录非法网站
10
路由器没有静态绑定功能
四、要因确认
小组成员对鱼骨刺图分析出10项末端因素运用现场调查,现场测试等方法逐一进行了要因确定。
(一)首先我们编制了要因确定计划表。
序号
原因
确认内容
标准
确认方法
地点
负责人
完成时限
1
用户终端未配置静态IP地址
确认用户终端IP地配置情况
将局域网内所有终端配置静态IP地址
现场调查
要求客户信息部门人员配合
各集团客户单位
王智
一个月
2
用户终端未安装杀毒软件
用户电脑安装杀毒软件情况
局域网内所有终端均安装杀毒软件
现场调查
要求客户信息部门人员配合
各集团客户单位
李菲
一个月
3
用户终端未启用ARP防火墙
确认用户电脑是否开启ARP防火墙
局域网内所有终端开启ARP防火墙
现场调查
要求客户信息部门人员配合
各集团客户单位
陈勇
一个月
4
维护人员缺乏相关的学习培训
核查维护人员负责的设备操作情况、
在规定时间内解决问题;培训次数、考核符合3A标准要求
现场调查
本单位
张鹏
两天
5
维护人员重视程度不足
检查制度、流程与落实情况
公司发文、会议记录、考核办法
现场调查
本单位
张鹏
五天
6
局域网内私接路由器
检查是否局域网内客户自行接入路由器
严格按照网络结构要求撤换
现场调查
要求客户信息部门人员配合
各集团客户单位
张琰
一个月
7
路由器未配置ARP静态绑定
检查用户端设备配置情况
在路由器中将局域网IP地址与MAC地址绑定
远程登录设备
本单位
张琰
10天
8
局域网内私拉网线
检查是否局域网内客户私拉网线
严格按照网络结构要求撤换
现场调查
要求客户信息部门人员配合
各集团客户单位
陈勇
两周
9
登录非法网站
检查登录非法网站
建议整改
现场调查
要求客户信息部门人员配合
各集团客户单位
张鹏
两周
10
路由器没有静态绑定功能
检查客户端设备性能
必需具备ARP静态绑定功能
远程登录设备
本单位
张琰
5天
(二)要因确定过程
确认一:
用户终端未配置静态IP地址
验证过程:
小组成员王智配合各单位网络管理人员从5月1日到5月30日对118个集团客户3320台局域网终端IP地址配置情况进行了核查。
从上图可以看出,1830台局域网终端未配置固定IP地址,是导致ARP病毒攻击的重要因素之一。
结论:
要因
确认二:
用户终端未安装杀毒软件
验证过程:
小组成员李菲配合各单位网络管理人员从5月1日到5月30日对118个集团客户3320台局域网终端安装杀毒软件情况进行了核查。
根据上图显示,1528台终端未正常安装杀毒软件,为木马程序的侵入提供了更便利的条件。
结论:
要因
确认三:
用户终端未启用ARP防火墙
验证过程:
陈勇从5月1日到5月30日对118个集团客户3320台局域网终端ARP防火墙开启情况进行了核查。
核查显示1280台终端未开启ARP防火墙,只有ARP防火墙与静态绑定配合实施才能有效控制和防范病毒的攻击,因此,未开启ARP防火墙也是导致网络中断的重要原因之一。
结论:
要因
确认四:
维护人员缺乏相关学习培训
验证过程:
小组成员张鹏在5月3日核查了维护人员的相关学习培训情况。
经过查找最近两年来的员工培训档案,班组学习记录,有95.28%的维护人员参加过区公司和盟市分公司组织的技能培训,并通过技能考核,维护人员有能力完成日常的维护、巡检、割接、抢修等技术工作。
结论:
非要因
确认五:
维护人员重视程度不足
验证过程:
小组成员张鹏在5月8日核查了2013年7月至2014年6月间的集团客户网络故障处理过程进行分析。
集团客户网络故障处理时间分解情况表
故障单签收平均历时(分钟)
判断故障点并到达故障现场平均历时(分钟)
实际处理平
均历时(分钟)
故障处理平均
历时(分钟)
全市平均
4
42
62
106
从上表发现在大客户网络故障处理过程中各环节历时均在正常范围内,同时建立了集团客户电路故障处理办法、工作流程以及考核条例,整个流程职责分工明确,流程清晰合理。
结论:
非要因
确认六:
局域网内私接路由器
验证过程:
小组成员张琰配合各单位网络管理人员从5月1日到5月30日对118个集团客户经过走访巡检过程中发现有7个单位存在私接路由器的情况并对其进行了撤换整改,并能够了正常上网。
结论:
非要因
确认七:
路由器未配置ARP静态绑定
验证过程:
小组成员张琰通过远程登录用户端设备对118个集团客户进行了核查。
有72个集团客户端路由器未配置ARP静态绑定,是导致ARP病毒攻击的主要原因。
结论:
要因
确认八:
局域网内私拉网线
验证过程:
小组成员陈勇配合各单位网络管理人员从5月15日到5月30日对118个集团客户经过走访巡检过程中发现有8个单位存在私拉网线的情况,通过撤换整改,对病毒的攻击影响甚微。
结论:
非要因
确认九:
登录非法网站
验证过程:
小组成员张鹏配合各单位网络管理人员从5月15日到5月30日对118个集团客户经过走访巡检过程中发现有4个单位11终端登录浏览过非法网站,但通过检测只有3台终端感染ARP病毒,从数量上看不是导致故障率高的主要原因。
结论:
非要因
确认十:
路由器没有静态绑定功能
验证过程:
小组成员张琰5月15日到20日通过远程登录用户端设备对118个集团客户进行了核查。
发现有16个单位路由器设备软件未升级,没有相应功能
结论:
要因
要因确认结果:
最终通过对10项末端原因的要因确认,分析确定了四项引起局域网ARP病毒攻击导致网络中断的关键因素,具体如下:
用户终端未配置静态IP地址
要因一
用户终端未安装杀毒软件
要因二
用户终端未启用ARP防火墙
要因三
路由器未配置ARP静态绑定
要因四
路由器没有静态绑定功能
要因五
五、制定对策
结合要分析的结果,小组成员一起针对性每一项关键因素提出了相应的实施对策,随后小组成员讨论分析后确定打对勾的五项作为对应的实施对策:
要因对策评价表
序号
要因
项目
权重
对策
可实施性
有效性
经济性
可靠性
综合得分
选择方案
0.3
0.3
0.2
0.2
1
用户终端未配置静态IP地址
坚决要求各部门配合电脑终端配置固定IP地址
4
5
5
5
4.7
√
调集维护人员上门安装
1
5
0
5
2.8
2
用户终端未安装杀毒软件
坚决要求各部门配合电脑终端安装360等杀毒软件。
5
4
4
5
4.5
√
调集维护人员上门安装
1
5
2
5
3.2
3
用户终端未启用ARP防火墙
安装杀毒软件后开启ARP防火墙,配合各单位负责人共同完成
4
5
4
4
4.3
√
调集维护人员上门安装
1
5
0
2
2.6
4
路由器未配置ARP静态绑定
远程登录用户端路由器配置ARP静态绑定
5
5
5
5
5
√
5
路由器没有静态绑定功能
将16个部门的网络设备进行升级优化和硬件更换确保相应功能的实现
4
5
4
4
4.3
√
5W1H对策表
序号
要因
对策
目标
措施
负责人
地点
完成时间
1
用户终端未配置静态IP地址
要求各单位配合电脑终端配置静态IP地址
局域网终端配置静态IP地址达到90%以上
1、规定时限完成对局域网终端IP地址的设置。
2、此工作量较大,因与各单位工作人员配合完成。
王智
李菲
各用户端
2014年7月
2
用户终端未安装杀毒软件
坚决要求各部门配合电脑终端安装360等杀毒软件。
局域网终端安装杀毒软件达到90%
1、与各单位人员配合,分区包片检查杀毒软件安装情况
2、对已经感染病毒的终端要求系统重装
陈勇
李菲
各用户端
2014年7月
3
用户终端未启用ARP防火墙
安装杀毒软件后开启ARP防火墙,配合各单位负责人共同完成
终端开启ARP防火墙率达90%
1、此项工作与安装杀毒软件同步进行
2、要求各单位网络管理员全力配合
陈勇
李菲
各用户端
2014年7月
4
路由器未配置ARP静态绑定
完善现有网络设备配置并进行ARP静态绑定
静态ARP绑定和完善设备配置率达95%
1、检测路由器配置,将所有上网用户配置IP地址,通过ARP绑定达到目标。
2、在上层路由设备上进行病毒端口的防制,数据机房配合实施
张琰
张鹏
各用户端机房
2014年7月
5
路由器没有静态绑定功能
将16个部门的网络设备进行升级优化,确保相应功能的实现
设备升级优化率达到98%
1通过与厂家沟通对16个部门的网络设备逐一进行系统升级优化
2、对无法升级的设备协调公司进行硬件升级
张琰
王智
各用户端
2014年7月
六、实施对策
小组成员根据对策表中制定的对策开始实施工作。
实施一局域网终端配置静态IP地址达到90%以上
小组成员王智、李菲在7月20日-8月20日负责对各单位局域网终端的IP地址分配工作。
实施过程截屏图
结论:
小组成员经过一个月的时间完成了对各单位的IP地址分配工作并达到了90%的目标值。
此对策有效
实施二局域网终端安装杀毒软件达到90%
小组成员陈勇和李菲配合各单位网络管理员在7月16日-8月15日对集团客户局域网终端安装杀毒软件进行了全程配合实施
实施过程截屏图
结论:
杀毒软件安装率达到了95%以上,达到了90%的目标值。
此对策有效。
实施三终端开启ARP防火墙率达90%
小组成员陈勇和李菲在7月16日-8月15日在进行安装杀毒软件的同时并检查配合进行了局域网终端ARP防火墙的开启
实施过程截屏图
结论:
根据客户端启用ARP防火墙情况抽查结果,终端开启ARP防火墙率达90%以上,达到目标值,此对策有效。
实施四完善现有网络设备配置并进行ARP静态绑定
针对客户端的网络设备,小组成员张鹏和张琰在7月15日-8月28日负责检测各单位设备配置情况,并做静态ARP绑定工作。
实施过程截屏图
结论:
小组成员对118个集团客户的网络设备(路由器、防火墙)配置进行了系统的整理,将遗漏的IP地址重新进行了规化并绑定。
完成了静态ARP绑定和完善设备配置率达95%的要求,达到了目标值。
此对策有效。
实施五设备升级优化率达到98%
小组成员张琰、王智在8月2日-8月10日,对16个集团客户逐一对设备进行了升级优化,使其防御病毒攻击能力大大提高。
实施过程截屏图
结论:
在对16个客户的升级优化过程中,除有两个用户需更换设备外,其余全部完成,完成率达100%,此对策有效。
七、检验效果
效果检验总结一:
集团客户ARP病毒故障率降低
完成以上对策后,通过对2013年9月和2014年10月后的故障数量和故障率的数据进行对比,因客户局域网ARP病毒导致网络中断频次进行分析如下:
完成对策
因ARP病毒造成的网络故障大为减少,由原来的49.2次/月减少到12次/月,低于目标值。
从上表可以看出,集团客户局域网ARP病毒故障率大为降低,活动取得了实效。
效果检验总结二:
互联网总故障量变化与维护成本降低
在集团客户网络故障处理工作中除去设备耗材,交通等
各项费用是主要支出项目。
根据“现状调查”显示,2013年9月-2014年2月共发生各类故障486次,月均81次,每天2.7次等于每天开车行驶30公里,按每百公里10公升汽油=每公里0.1公升汽油,每公升7.5元计算,30公里*30天*0.1公升*7.5元=675元。
现根据上图显示,每月平均故障43.8起,每天发生故障1.46次,按每天行车15公里算,15*30*0.1*7=337.5元。
如此计算光是交通费用每月就能节省675-337.5=337.5元,一年可为公司节省的维护成本将相当可观。
月均故障数
效果检验总结三:
互联网集团客户故障申告率降低满意度提升
互联网集团客户使用情况调查
用户上网速度明显提高,10M带宽的局域网15台终端同时上网,下载速率可达100kb/s
对策实施前客户上网看电影等断线率日平均8-10次,现在用户反应每天0次
客服申告电话由平均每月486次减少到现在每月236次
本次活动提升了联通公司在客户心目中的形象和地位,
带来了良好的社会效益。
网络质量的提升,不但稳定了现有的客户群体。
也能带来新客户的入网,较好的缓解了发展集团客户困难的问题,从而创造了良好的经济效益。
八、巩固措施
为保持QC小组成果有效性的持续性,小组对活动采取的措施进行了巩固与推广
1、局域网ARP病毒故障是一类特殊的病毒,该病毒一般属于木马(Trojan)病毒,由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害比一些蠕虫还要严重得多。
所以针对其的防范与拦截是解决问题的关键,我们现已将此项措施列入到部门内部维护手册当中,为今后的各类维护工作提供参考。
2、全区联通各地市互联网,在业务不断发展的的过程中都有可能碰到此类问题,我们在局域网网络设备上做地址分段控制,静态ARP绑定,客户终端分配固定IP地址,启用ARP防火墙的经验可供个地分公司亲兄弟单位参考。
九、总结和打算
探索能力
QC工具运用
创新意识
策划能力
团队精神
沟通能力
红色线:
活动前蓝色线:
活动后
评估内容
创新意识
策划能力
团队精神
QC运用
探索能力
沟通能力
活动后
97
99
100
94
89
95
活动前
95
93
98
80
89
92
通过本次QC小组活动,我们都深感受益,在收获成果的同时,创新意识、策划能力,团队精神和沟通能力上都有了很大的提高,在处理各种问题的能力上有了长足的进步。
但在探索能力方面还有待提高,只有深层次的探究才能更好的发现和解决问题。
虽然通过这次活动达到了预期的效果,但因各类故障引起的网络中断频次还是很多,因此我们小组打算在下一次的QC活动中,主要针对降低互联网故障率为课题进行分析与探讨。