歡迎來到裝配圖網(wǎng)! | 幫助中心 裝配圖網(wǎng)zhuangpeitu.com!
裝配圖網(wǎng)
ImageVerifierCode 換一換
首頁 裝配圖網(wǎng) > 資源分類 > PPT文檔下載  

科來網(wǎng)絡分析系統(tǒng)簡單故障查找簡介.ppt

  • 資源ID:3823192       資源大?。?span id="6wdvl6g" class="font-tahoma">1.72MB        全文頁數(shù):36頁
  • 資源格式: PPT        下載積分:9.9積分
快捷下載 游客一鍵下載
會員登錄下載
微信登錄下載
三方登錄下載: 微信開放平臺登錄 支付寶登錄   QQ登錄   微博登錄  
二維碼
微信掃一掃登錄
下載資源需要9.9積分
郵箱/手機:
溫馨提示:
用戶名和密碼都是您填寫的郵箱或者手機號,方便查詢和重復下載(系統(tǒng)自動生成)
支付方式: 支付寶    微信支付   
驗證碼:   換一換

 
賬號:
密碼:
驗證碼:   換一換
  忘記密碼?
    
友情提示
2、PDF文件下載后,可能會被瀏覽器默認打開,此種情況可以點擊瀏覽器菜單,保存網(wǎng)頁到桌面,就可以正常下載了。
3、本站不支持迅雷下載,請使用電腦自帶的IE瀏覽器,或者360瀏覽器、谷歌瀏覽器下載即可。
4、本站資源下載后的文檔和圖紙-無水印,預覽文檔經(jīng)過壓縮,下載后原文更清晰。
5、試題試卷類文檔,如果標題沒有明確說明有答案則都視為沒有答案,請知曉。

科來網(wǎng)絡分析系統(tǒng)簡單故障查找簡介.ppt

科來網(wǎng)絡分析系統(tǒng)常見故障查找簡介,查看網(wǎng)絡基本運行情況,查看網(wǎng)絡的帶寬利用率和每秒產(chǎn)生多少位流量,如果利用率達到50%以上,網(wǎng)絡中就存在擁塞的情況,看平均包長,通常網(wǎng)絡的平均包長在500-700字節(jié),如果過小,網(wǎng)絡中可能存在病毒或是攻擊,TCP同步發(fā)送和TCP同步確認發(fā)送比值應在1:1,如果有大量的TCP同步發(fā)送,網(wǎng)絡中可能存在基于TCP的病毒或攻擊,如果在概要視圖中發(fā)現(xiàn)有異常的話,我們可以到IP端點視圖中看具體異常的主機,如果是利用率過大,流量大,可以通過字節(jié)排序來找到流量靠前的主機,如果是TCP統(tǒng)計異常,可以通過TCP會話來排序,找到流量靠前的主機,并看他的數(shù)據(jù)包收發(fā)情況,中病毒的主機:TCP會話大、流量小、發(fā)包多收包少攻擊:TCP會話大、流量小、發(fā)包少收包多,案例:物理環(huán)路,物理環(huán)路:用一根網(wǎng)線連接了一臺交換機上的兩個端口,或是在進行交換機串聯(lián)時有兩個網(wǎng)絡同時做串接線。環(huán)路示意圖:環(huán)路后果:1.網(wǎng)絡中產(chǎn)生大量廣播流量,網(wǎng)絡資源被消耗2.交換機消耗大量資源處理廣播數(shù)據(jù)攻擊后現(xiàn)象:1.網(wǎng)絡中組播/廣播流量非常大2.網(wǎng)絡癱瘓,交換機,交換機,交換機,科來分析物理環(huán)路實例,1.根據(jù)概要視圖中的流量,看廣播/組播流量占總流量的比例,如果過大,網(wǎng)絡中可能就存在物理環(huán)路,2.結(jié)合IP端點中的廣播字節(jié)進行排序,可以看到網(wǎng)絡中廣播流量最大的地址,3.定位到這個IP地址看它具體的會話,選中一個會話打開該會話,科來分析物理環(huán)路實例,4.查看具體的數(shù)據(jù)包,可以發(fā)現(xiàn)同一個標識的數(shù)據(jù)包反復出現(xiàn),所以網(wǎng)絡中有物理環(huán)路,物理環(huán)路定位,定位難度:物理環(huán)路一般都是接網(wǎng)是不注意導致的,所以產(chǎn)生環(huán)路的位置不容易查找。定位方法:根據(jù)數(shù)據(jù)包中的MAC地址,結(jié)合交換機中的MAC地址表來查找數(shù)據(jù)包是通過哪個端口過來的,然后逐層查找。,案例:SYNFLOOD(syn洪泛),SYNFLOOD攻擊:利用TCP三次握手協(xié)議的缺陷,向目標主機發(fā)送大量的偽造源地址的SYN連接請求,消耗目標主機的資源,從而不能夠為正常用戶提供服務攻擊后果:1.被攻擊主機資源消耗嚴重2.中間設備在處理時消耗大量資源攻擊目的:1.服務器拒絕服務2.網(wǎng)絡拒絕服務攻擊后現(xiàn)象:1.服務器死機2.網(wǎng)絡癱瘓,科來分析SYNFLOOD攻擊實例,1.根據(jù)初始化TCP連接與成功建立連接的比例可以發(fā)現(xiàn)異常,2.根據(jù)網(wǎng)絡連接數(shù)與矩陣視圖,可以確認異常IP,3.會話很有規(guī)律,而且根據(jù)異常IP的數(shù)據(jù)包解碼,我們發(fā)現(xiàn)都是TCP的syn請求報文,至此,我們可以定位為synflood攻擊,SYNFLOOD定位,定位難度:Synflood攻擊的源IP地址是偽造的,無法通過源IP定位攻擊主機定位方法:只能在最接近攻擊主機的二層交換機(一般通過TTL值,可以判斷出攻擊源與抓包位置的距離)上抓包,定位出真實的攻擊主機MAC,才可以定位攻擊機器。,案例:蠕蟲攻擊,蠕蟲攻擊:感染機器掃描網(wǎng)絡內(nèi)存在系統(tǒng)或應用程序漏洞的目的主機,然后感染目的主機,在利用目的主機收集相應的機密信息等攻擊后果:泄密、影響網(wǎng)絡正常運轉(zhuǎn)攻擊后現(xiàn)象:網(wǎng)絡緩慢,網(wǎng)關設備堵塞,業(yè)務應用掉線等,利用科來分析蠕蟲攻擊實例,2.通過端點視圖,發(fā)現(xiàn)連接數(shù)異常的主機,發(fā)送和接收比值差異很大,2.通過TCP會話視圖,發(fā)現(xiàn)源主機(固定)向目的主機(隨機)的445端口發(fā)送了大量TCP連接,可以定位其為蠕蟲引發(fā)的掃描行為,1.根據(jù)初始化TCP連接與成功建立連接的比例可以發(fā)現(xiàn)異常,蠕蟲攻擊定位,定位難度:蠕蟲爆發(fā)是源主機一般是固定的,但是蠕蟲的種類和網(wǎng)絡行為卻是各有特點并且更新速度很快定位方法:結(jié)合蠕蟲的網(wǎng)絡行為特征(過濾器),根據(jù)源IP定位異常主機即可,在診斷視圖中看有無異常,在診斷視圖中看有沒有異常診斷提示,如果有TTL太小、IP地址沖突、ARP掃描等,就需要關注下。因為TTL太小可能是網(wǎng)絡中存在網(wǎng)絡環(huán)路;IP地址沖突和ARP掃面可能是網(wǎng)絡中存在ARP病毒。,案例:網(wǎng)絡環(huán)路,網(wǎng)絡環(huán)路網(wǎng)絡環(huán)路是指某些網(wǎng)段的路由在兩個或多個路由間由于路由的設置形成環(huán)路,造成發(fā)往這些網(wǎng)段的數(shù)據(jù)包在路由間循環(huán)的來回傳送。,利用科來分析網(wǎng)絡環(huán)路,1.診斷視圖我們會發(fā)現(xiàn)有“IP保生存周期太短”的提示:,2.數(shù)據(jù)包視圖通過數(shù)據(jù)包視圖的解碼可發(fā)現(xiàn)數(shù)據(jù)包的IP標識相同的數(shù)據(jù)包的TTI值在減?。?故障查找,定位難度通常導致網(wǎng)絡環(huán)路是由于路由設置不夠優(yōu)化、路由設置過于簡單或者網(wǎng)絡改造等原因造成的,需要了解路由配置,如果路由設置復雜了,工作比較繁瑣。定位方法通過查找網(wǎng)絡路由配置,是否有不夠優(yōu)化或過于簡單的路由設置。,案例:IP地址沖突,IP地址沖突:IP地址沖突是指在同一網(wǎng)絡中有兩個主機的IP地址使用同一IP地址。,IP地址沖突在科來的分析,1診斷視圖我們會發(fā)現(xiàn)有IP地址的提示:,2數(shù)據(jù)包視圖通過診斷視圖中的沖突數(shù)據(jù)包提示我們在數(shù)據(jù)包視圖中可找到IP地址沖突主機MAC地址。,如上圖,一個IP地址對應兩個MAC地址,192.168.1.1分別對應00:1D:0F:3D:6D:A2和00:0F:E2:23:0C:86,故障查找,查找難度有些造成IP地址沖突的主機是偽造的,無法直接查找到造成故障的主機。定位方法只能在最接近故障主機的二層交換機(一般通過TTL值,可以判斷出故障源與抓包位置的距離)上抓包,定位出真實的造成故障主機的MAC,才可以定位出故障機器。,通過IP端點看網(wǎng)絡主機信息,通過字節(jié)排序來找到流量靠前的主機通過排序可以看到流量排名靠前的主機,定位到這些主機看這些主機在做些什么,是不是正常的業(yè)務應用。,案例:下載,下載通過P2P軟件、其它程序等,從網(wǎng)絡上下載電影、文件等行為網(wǎng)絡現(xiàn)象:網(wǎng)絡用戶上網(wǎng)慢,網(wǎng)絡訪問延時,利用科來查找下載,1.在IP端點中利用總流量排序可以看到流量較大的主機,定位到主機,2.定位這臺機器到協(xié)議視圖中可以看到它使用協(xié)議中UDP-Other流量占了大部分,3.定位這臺機器到矩陣視圖中可以看到它與多個IP地址進行數(shù)據(jù)交互,4.再看其會話視圖,可以發(fā)現(xiàn)它與多臺主機的大端口進行通信,可以判斷出該主機在進行下載,下載定位,定位難度:通常進行下載機器的IP地址都是真實的,可以通過觀察到的IP地址進行定位定位方法:通過科來端點視圖中的IP地址進行定位,可以快速的找到下載的機器,案例:大流量攻擊,大流量攻擊:向網(wǎng)絡中某一個IP地址或多個IP地址發(fā)送大流量的數(shù)據(jù)包,使網(wǎng)絡無法正常工作攻擊后果:網(wǎng)絡用戶上網(wǎng)慢,甚至網(wǎng)絡癱瘓攻擊后現(xiàn)象:用戶上網(wǎng)慢,網(wǎng)絡無法正常運行,利用科來分析大流量攻擊,1.在IP端點中利用總流量排序可以看到流量非常大的主機,2.定位這臺機器到會話視圖中可以看到它與某個IP地址有大流量的數(shù)據(jù)交互,而且基本上都是接受的流量,3.看其具體的數(shù)據(jù)包,可以看到有明顯的填充特征,可以看到明顯的填充現(xiàn)象,所以該地址受到了填充攻擊,攻擊定位,定位難度:可以通過查找大流量的交互主機進行分析,根據(jù)其網(wǎng)絡特征進行定位,但是攻擊IP地址可能是偽造的IP地址定位方法:通過大流量主機的IP地址可以定位到該主機。如果是偽造的,只能在最接近攻擊主機的二層交換機(一般通過TTL值,可以判斷出攻擊源與抓包位置的距離)上抓包,定位出真實的攻擊主機MAC,才可以定位攻擊機器。,謝謝!,

注意事項

本文(科來網(wǎng)絡分析系統(tǒng)簡單故障查找簡介.ppt)為本站會員(xt****7)主動上傳,裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對上載內(nèi)容本身不做任何修改或編輯。 若此文所含內(nèi)容侵犯了您的版權或隱私,請立即通知裝配圖網(wǎng)(點擊聯(lián)系客服),我們立即給予刪除!

溫馨提示:如果因為網(wǎng)速或其他原因下載失敗請重新下載,重復下載不扣分。




關于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權所有   聯(lián)系電話:18123376007

備案號:ICP2024067431-1 川公網(wǎng)安備51140202000466號


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務平臺,本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權或隱私,請立即通知裝配圖網(wǎng),我們立即給予刪除!