科來(lái)網(wǎng)絡(luò)分析系統(tǒng)簡(jiǎn)單故障查找簡(jiǎn)介.ppt

《科來(lái)網(wǎng)絡(luò)分析系統(tǒng)簡(jiǎn)單故障查找簡(jiǎn)介.ppt》由會(huì)員分享，可在線閱讀，更多相關(guān)《科來(lái)網(wǎng)絡(luò)分析系統(tǒng)簡(jiǎn)單故障查找簡(jiǎn)介.ppt（36頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

科來(lái)網(wǎng)絡(luò)分析系統(tǒng)常見(jiàn)故障查找簡(jiǎn)介,查看網(wǎng)絡(luò)基本運(yùn)行情況,查看網(wǎng)絡(luò)的帶寬利用率和每秒產(chǎn)生多少位流量，如果利用率達(dá)到50%以上，網(wǎng)絡(luò)中就存在擁塞的情況,看平均包長(zhǎng)，通常網(wǎng)絡(luò)的平均包長(zhǎng)在500-700字節(jié)，如果過(guò)小，網(wǎng)絡(luò)中可能存在病毒或是攻擊,TCP同步發(fā)送和TCP同步確認(rèn)發(fā)送比值應(yīng)在1:1，如果有大量的TCP同步發(fā)送，網(wǎng)絡(luò)中可能存在基于TCP的病毒或攻擊,如果在概要視圖中發(fā)現(xiàn)有異常的話，我們可以到IP端點(diǎn)視圖中看具體異常的主機(jī),如果是利用率過(guò)大，流量大，可以通過(guò)字節(jié)排序來(lái)找到流量靠前的主機(jī),如果是TCP統(tǒng)計(jì)異常，可以通過(guò)TCP會(huì)話來(lái)排序，找到流量靠前的主機(jī)，并看他的數(shù)據(jù)包收發(fā)情況，中病毒的主機(jī)：TCP會(huì)話大、流量小、發(fā)包多收包少攻擊：TCP會(huì)話大、流量小、發(fā)包少收包多,案例：物理環(huán)路,物理環(huán)路：用一根網(wǎng)線連接了一臺(tái)交換機(jī)上的兩個(gè)端口，或是在進(jìn)行交換機(jī)串聯(lián)時(shí)有兩個(gè)網(wǎng)絡(luò)同時(shí)做串接線。環(huán)路示意圖：環(huán)路后果：1.網(wǎng)絡(luò)中產(chǎn)生大量廣播流量，網(wǎng)絡(luò)資源被消耗2.交換機(jī)消耗大量資源處理廣播數(shù)據(jù)攻擊后現(xiàn)象：1.網(wǎng)絡(luò)中組播/廣播流量非常大2.網(wǎng)絡(luò)癱瘓,交換機(jī),交換機(jī),交換機(jī),科來(lái)分析物理環(huán)路實(shí)例,1.根據(jù)概要視圖中的流量，看廣播/組播流量占總流量的比例，如果過(guò)大，網(wǎng)絡(luò)中可能就存在物理環(huán)路,2.結(jié)合IP端點(diǎn)中的廣播字節(jié)進(jìn)行排序，可以看到網(wǎng)絡(luò)中廣播流量最大的地址,3.定位到這個(gè)IP地址看它具體的會(huì)話，選中一個(gè)會(huì)話打開(kāi)該會(huì)話,科來(lái)分析物理環(huán)路實(shí)例,4.查看具體的數(shù)據(jù)包，可以發(fā)現(xiàn)同一個(gè)標(biāo)識(shí)的數(shù)據(jù)包反復(fù)出現(xiàn)，所以網(wǎng)絡(luò)中有物理環(huán)路,物理環(huán)路定位,定位難度：物理環(huán)路一般都是接網(wǎng)是不注意導(dǎo)致的，所以產(chǎn)生環(huán)路的位置不容易查找。定位方法：根據(jù)數(shù)據(jù)包中的MAC地址，結(jié)合交換機(jī)中的MAC地址表來(lái)查找數(shù)據(jù)包是通過(guò)哪個(gè)端口過(guò)來(lái)的，然后逐層查找。,案例：SYNFLOOD（syn洪泛）,SYNFLOOD攻擊：利用TCP三次握手協(xié)議的缺陷，向目標(biāo)主機(jī)發(fā)送大量的偽造源地址的SYN連接請(qǐng)求，消耗目標(biāo)主機(jī)的資源，從而不能夠?yàn)檎Ｓ脩籼峁┓?wù)攻擊后果：1.被攻擊主機(jī)資源消耗嚴(yán)重2.中間設(shè)備在處理時(shí)消耗大量資源攻擊目的：1.服務(wù)器拒絕服務(wù)2.網(wǎng)絡(luò)拒絕服務(wù)攻擊后現(xiàn)象：1.服務(wù)器死機(jī)2.網(wǎng)絡(luò)癱瘓,科來(lái)分析SYNFLOOD攻擊實(shí)例,1.根據(jù)初始化TCP連接與成功建立連接的比例可以發(fā)現(xiàn)異常,2.根據(jù)網(wǎng)絡(luò)連接數(shù)與矩陣視圖，可以確認(rèn)異常IP,3.會(huì)話很有規(guī)律，而且根據(jù)異常IP的數(shù)據(jù)包解碼，我們發(fā)現(xiàn)都是TCP的syn請(qǐng)求報(bào)文，至此，我們可以定位為synflood攻擊,SYNFLOOD定位,定位難度：Synflood攻擊的源IP地址是偽造的，無(wú)法通過(guò)源IP定位攻擊主機(jī)定位方法：只能在最接近攻擊主機(jī)的二層交換機(jī)（一般通過(guò)TTL值，可以判斷出攻擊源與抓包位置的距離）上抓包，定位出真實(shí)的攻擊主機(jī)MAC，才可以定位攻擊機(jī)器。,案例：蠕蟲(chóng)攻擊,蠕蟲(chóng)攻擊：感染機(jī)器掃描網(wǎng)絡(luò)內(nèi)存在系統(tǒng)或應(yīng)用程序漏洞的目的主機(jī)，然后感染目的主機(jī)，在利用目的主機(jī)收集相應(yīng)的機(jī)密信息等攻擊后果：泄密、影響網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn)攻擊后現(xiàn)象：網(wǎng)絡(luò)緩慢，網(wǎng)關(guān)設(shè)備堵塞，業(yè)務(wù)應(yīng)用掉線等,利用科來(lái)分析蠕蟲(chóng)攻擊實(shí)例,2.通過(guò)端點(diǎn)視圖，發(fā)現(xiàn)連接數(shù)異常的主機(jī),發(fā)送和接收比值差異很大,2.通過(guò)TCP會(huì)話視圖，發(fā)現(xiàn)源主機(jī)（固定）向目的主機(jī)（隨機(jī)）的445端口發(fā)送了大量TCP連接，可以定位其為蠕蟲(chóng)引發(fā)的掃描行為,1.根據(jù)初始化TCP連接與成功建立連接的比例可以發(fā)現(xiàn)異常,蠕蟲(chóng)攻擊定位,定位難度：蠕蟲(chóng)爆發(fā)是源主機(jī)一般是固定的，但是蠕蟲(chóng)的種類(lèi)和網(wǎng)絡(luò)行為卻是各有特點(diǎn)并且更新速度很快定位方法：結(jié)合蠕蟲(chóng)的網(wǎng)絡(luò)行為特征（過(guò)濾器），根據(jù)源IP定位異常主機(jī)即可,在診斷視圖中看有無(wú)異常,在診斷視圖中看有沒(méi)有異常診斷提示，如果有TTL太小、IP地址沖突、ARP掃描等，就需要關(guān)注下。因?yàn)門(mén)TL太小可能是網(wǎng)絡(luò)中存在網(wǎng)絡(luò)環(huán)路；IP地址沖突和ARP掃面可能是網(wǎng)絡(luò)中存在ARP病毒。,案例：網(wǎng)絡(luò)環(huán)路,網(wǎng)絡(luò)環(huán)路網(wǎng)絡(luò)環(huán)路是指某些網(wǎng)段的路由在兩個(gè)或多個(gè)路由間由于路由的設(shè)置形成環(huán)路，造成發(fā)往這些網(wǎng)段的數(shù)據(jù)包在路由間循環(huán)的來(lái)回傳送。,利用科來(lái)分析網(wǎng)絡(luò)環(huán)路,1.診斷視圖我們會(huì)發(fā)現(xiàn)有“IP保生存周期太短”的提示：,2.數(shù)據(jù)包視圖通過(guò)數(shù)據(jù)包視圖的解碼可發(fā)現(xiàn)數(shù)據(jù)包的IP標(biāo)識(shí)相同的數(shù)據(jù)包的TTI值在減?。?故障查找,定位難度通常導(dǎo)致網(wǎng)絡(luò)環(huán)路是由于路由設(shè)置不夠優(yōu)化、路由設(shè)置過(guò)于簡(jiǎn)單或者網(wǎng)絡(luò)改造等原因造成的，需要了解路由配置，如果路由設(shè)置復(fù)雜了，工作比較繁瑣。定位方法通過(guò)查找網(wǎng)絡(luò)路由配置，是否有不夠優(yōu)化或過(guò)于簡(jiǎn)單的路由設(shè)置。,案例：IP地址沖突,IP地址沖突：IP地址沖突是指在同一網(wǎng)絡(luò)中有兩個(gè)主機(jī)的IP地址使用同一IP地址。,IP地址沖突在科來(lái)的分析,1診斷視圖我們會(huì)發(fā)現(xiàn)有IP地址的提示：,2數(shù)據(jù)包視圖通過(guò)診斷視圖中的沖突數(shù)據(jù)包提示我們?cè)跀?shù)據(jù)包視圖中可找到IP地址沖突主機(jī)MAC地址。,如上圖，一個(gè)IP地址對(duì)應(yīng)兩個(gè)MAC地址，192.168.1.1分別對(duì)應(yīng)00:1D:0F:3D:6D:A2和00:0F:E2:23:0C:86,故障查找,查找難度有些造成IP地址沖突的主機(jī)是偽造的，無(wú)法直接查找到造成故障的主機(jī)。定位方法只能在最接近故障主機(jī)的二層交換機(jī)（一般通過(guò)TTL值，可以判斷出故障源與抓包位置的距離）上抓包，定位出真實(shí)的造成故障主機(jī)的MAC，才可以定位出故障機(jī)器。,通過(guò)IP端點(diǎn)看網(wǎng)絡(luò)主機(jī)信息,通過(guò)字節(jié)排序來(lái)找到流量靠前的主機(jī)通過(guò)排序可以看到流量排名靠前的主機(jī)，定位到這些主機(jī)看這些主機(jī)在做些什么，是不是正常的業(yè)務(wù)應(yīng)用。,案例：下載,下載通過(guò)P2P軟件、其它程序等，從網(wǎng)絡(luò)上下載電影、文件等行為網(wǎng)絡(luò)現(xiàn)象：網(wǎng)絡(luò)用戶上網(wǎng)慢，網(wǎng)絡(luò)訪問(wèn)延時(shí),利用科來(lái)查找下載,1.在IP端點(diǎn)中利用總流量排序可以看到流量較大的主機(jī)，定位到主機(jī),2.定位這臺(tái)機(jī)器到協(xié)議視圖中可以看到它使用協(xié)議中UDP-Other流量占了大部分,3.定位這臺(tái)機(jī)器到矩陣視圖中可以看到它與多個(gè)IP地址進(jìn)行數(shù)據(jù)交互,4.再看其會(huì)話視圖，可以發(fā)現(xiàn)它與多臺(tái)主機(jī)的大端口進(jìn)行通信，可以判斷出該主機(jī)在進(jìn)行下載,下載定位,定位難度：通常進(jìn)行下載機(jī)器的IP地址都是真實(shí)的，可以通過(guò)觀察到的IP地址進(jìn)行定位定位方法：通過(guò)科來(lái)端點(diǎn)視圖中的IP地址進(jìn)行定位，可以快速的找到下載的機(jī)器,案例：大流量攻擊,大流量攻擊：向網(wǎng)絡(luò)中某一個(gè)IP地址或多個(gè)IP地址發(fā)送大流量的數(shù)據(jù)包，使網(wǎng)絡(luò)無(wú)法正常工作攻擊后果：網(wǎng)絡(luò)用戶上網(wǎng)慢，甚至網(wǎng)絡(luò)癱瘓攻擊后現(xiàn)象：用戶上網(wǎng)慢，網(wǎng)絡(luò)無(wú)法正常運(yùn)行,利用科來(lái)分析大流量攻擊,1.在IP端點(diǎn)中利用總流量排序可以看到流量非常大的主機(jī),2.定位這臺(tái)機(jī)器到會(huì)話視圖中可以看到它與某個(gè)IP地址有大流量的數(shù)據(jù)交互，而且基本上都是接受的流量,3.看其具體的數(shù)據(jù)包，可以看到有明顯的填充特征,可以看到明顯的填充現(xiàn)象，所以該地址受到了填充攻擊,攻擊定位,定位難度：可以通過(guò)查找大流量的交互主機(jī)進(jìn)行分析，根據(jù)其網(wǎng)絡(luò)特征進(jìn)行定位，但是攻擊IP地址可能是偽造的IP地址定位方法：通過(guò)大流量主機(jī)的IP地址可以定位到該主機(jī)。如果是偽造的，只能在最接近攻擊主機(jī)的二層交換機(jī)（一般通過(guò)TTL值，可以判斷出攻擊源與抓包位置的距離）上抓包，定位出真實(shí)的攻擊主機(jī)MAC，才可以定位攻擊機(jī)器。,謝謝！,