科來網(wǎng)絡(luò)分析系統(tǒng)簡單故障查找簡介

1、科來網(wǎng)絡(luò)分析系統(tǒng) 常見故障查找簡介 查看網(wǎng)絡(luò)基本運(yùn)行情況 查看網(wǎng)絡(luò)的帶寬利用率 和每秒產(chǎn)生多少位流量， 如果利用率達(dá)到50%以 上，網(wǎng)絡(luò)中就存在擁塞 的情況 看平均包長，通常網(wǎng)絡(luò) 的平均包長在500-700字 節(jié)，如果過小，網(wǎng)絡(luò)中 可能存在病毒或是攻擊 TCP同步發(fā)送和TCP同步 確認(rèn)發(fā)送比值應(yīng)在1:1， 如果有大量的TCP同步發(fā) 送，網(wǎng)絡(luò)中可能存在基 于TCP的病毒或攻擊 如果在概要視圖概要視圖中發(fā)現(xiàn)有異常的話，我們可以到IP端點(diǎn)端點(diǎn)視圖中看具體異常的主機(jī) 如果是利用率過大，流量大， 可以通過字節(jié)字節(jié)排序來找到流 量靠前的主機(jī) 如果是TCP統(tǒng)計(jì)異常，可以 通過TCP會(huì)話會(huì)話來排序，找到 流量

2、靠前的主機(jī)，并看他的 數(shù)據(jù)包收發(fā)情況， 中病毒的主機(jī)：TCP會(huì)話大、 流量小、發(fā)包多收包少 攻擊：TCP會(huì)話大、流量小、 發(fā)包少收包多 案例：物理環(huán)路 物理環(huán)路：物理環(huán)路： 用一根網(wǎng)線連接了一臺(tái)交換機(jī)上的兩個(gè)端口，或是在進(jìn)行交 換機(jī)串聯(lián)時(shí)有兩個(gè)網(wǎng)絡(luò)同時(shí)做串接線。 環(huán)路環(huán)路示意圖：示意圖： 環(huán)路后果：環(huán)路后果： 1.網(wǎng)絡(luò)中產(chǎn)生大量廣播流量，網(wǎng)絡(luò)資源被消耗 2.交換機(jī)消耗大量資源處理廣播數(shù)據(jù) 攻擊后現(xiàn)象：攻擊后現(xiàn)象： 1.網(wǎng)絡(luò)中組播/廣播流量非常大 2.網(wǎng)絡(luò)癱瘓 交換機(jī)交換機(jī) 交換機(jī)交換機(jī) 交換機(jī)交換機(jī) 科來分析物理環(huán)路實(shí)例 1.根據(jù)概要視圖中的流量，根據(jù)概要視圖中的流量， 看廣播看廣播/組播流量

3、占總流量組播流量占總流量 的比例，如果過大，網(wǎng)絡(luò)的比例，如果過大，網(wǎng)絡(luò) 中可能就存在物理環(huán)路中可能就存在物理環(huán)路 2.結(jié)合結(jié)合IP端點(diǎn)中的廣播字節(jié)端點(diǎn)中的廣播字節(jié) 進(jìn)行排序，可以看到網(wǎng)絡(luò)進(jìn)行排序，可以看到網(wǎng)絡(luò) 中廣播流量最大的地址中廣播流量最大的地址 3.定位到這個(gè)定位到這個(gè)IP地址看它具地址看它具 體的會(huì)話，選中一個(gè)會(huì)話體的會(huì)話，選中一個(gè)會(huì)話 打開該會(huì)話打開該會(huì)話 科來分析物理環(huán)路實(shí)例 4.查看具體的查看具體的 數(shù)據(jù)包，可以數(shù)據(jù)包，可以 發(fā)現(xiàn)同一個(gè)標(biāo)發(fā)現(xiàn)同一個(gè)標(biāo) 識(shí)的數(shù)據(jù)包反識(shí)的數(shù)據(jù)包反 復(fù)出現(xiàn)，所以復(fù)出現(xiàn)，所以 網(wǎng)絡(luò)中有物理網(wǎng)絡(luò)中有物理 環(huán)路環(huán)路 物理環(huán)路定位 定位難度：定位難度： 物理環(huán)

4、路一般都是接網(wǎng)是不注意導(dǎo)致的，所 以產(chǎn)生環(huán)路的位置不容易查找。 定位方法：定位方法： 根據(jù)數(shù)據(jù)包中的MAC 地址，結(jié)合交換機(jī)中的 MAC地址表來查找數(shù)據(jù)包是通過哪個(gè)端口過 來的，然后逐層查找。 案例：SYN FLOOD（syn洪泛） SYN FLOOD攻擊：攻擊： 利用TCP三次握手協(xié)議的缺陷，向目標(biāo)主機(jī)發(fā)送大量的偽造 源地址的SYN連接請(qǐng)求，消耗目標(biāo)主機(jī)的資源，從而不能 夠?yàn)檎Ｓ脩籼峁┓?wù) 攻擊后果：攻擊后果： 1.被攻擊主機(jī)資源消耗嚴(yán)重 2.中間設(shè)備在處理時(shí)消耗大量資源 攻擊目的：攻擊目的： 1.服務(wù)器拒絕服務(wù) 2.網(wǎng)絡(luò)拒絕服務(wù) 攻擊后現(xiàn)象：攻擊后現(xiàn)象： 1.服務(wù)器死機(jī) 2.網(wǎng)絡(luò)癱瘓 科

5、來分析SYN FLOOD攻擊實(shí)例 1.根據(jù)初始化根據(jù)初始化TCP連接連接 與成功建立連接的比例與成功建立連接的比例 可以發(fā)現(xiàn)異?？梢园l(fā)現(xiàn)異常 2.根據(jù)網(wǎng)絡(luò)連接數(shù)根據(jù)網(wǎng)絡(luò)連接數(shù) 與矩陣視圖，可以與矩陣視圖，可以 確認(rèn)異常確認(rèn)異常IP 3.會(huì)話很有規(guī)律，會(huì)話很有規(guī)律， 而且根據(jù)異常而且根據(jù)異常IP的的 數(shù)據(jù)包解碼，我們數(shù)據(jù)包解碼，我們 發(fā)現(xiàn)都是發(fā)現(xiàn)都是TCP的的syn 請(qǐng)求報(bào)文，至此，請(qǐng)求報(bào)文，至此， 我們可以定位為我們可以定位為syn flood攻擊攻擊 SYN FLOOD定位 定位難度：定位難度： Syn flood攻擊的源IP地址是偽造的，無法通 過源IP定位攻擊主機(jī) 定位方法：定位方法：

6、只能在最接近攻擊主機(jī)的二層交換機(jī)（一 般通過TTL值，可以判斷出攻擊源與抓包位 置的距離）上抓包，定位出真實(shí)的攻擊主 機(jī)MAC，才可以定位攻擊機(jī)器。 案例：蠕蟲攻擊 蠕蟲攻擊：蠕蟲攻擊： 感染機(jī)器掃描網(wǎng)絡(luò)內(nèi)存在系統(tǒng)或應(yīng)用程序漏 洞的目的主機(jī)，然后感染目的主機(jī)，在利 用目的主機(jī)收集相應(yīng)的機(jī)密信息等 攻擊后果：攻擊后果： 泄密、影響網(wǎng)絡(luò)正常運(yùn)轉(zhuǎn) 攻擊后現(xiàn)象：攻擊后現(xiàn)象： 網(wǎng)絡(luò)緩慢，網(wǎng)關(guān)設(shè)備堵塞，業(yè)務(wù)應(yīng)用掉線等 利用科來分析蠕蟲攻擊實(shí)例 2.通過端點(diǎn)視圖，發(fā)現(xiàn)通過端點(diǎn)視圖，發(fā)現(xiàn) 連接數(shù)異常的主機(jī)連接數(shù)異常的主機(jī),發(fā)送發(fā)送 和接收比值差異很大和接收比值差異很大 2.通過通過TCP會(huì)話視圖，會(huì)話視圖，

7、發(fā)現(xiàn)源主機(jī)（固定）向發(fā)現(xiàn)源主機(jī)（固定）向 目的主機(jī)（隨機(jī)）的目的主機(jī)（隨機(jī)）的 445端口發(fā)送了大量端口發(fā)送了大量TCP 連接連接 ，可以定位其為，可以定位其為 蠕蟲引發(fā)的掃描行為蠕蟲引發(fā)的掃描行為 1.根據(jù)初始化根據(jù)初始化TCP連接連接 與成功建立連接的比例與成功建立連接的比例 可以發(fā)現(xiàn)異?？梢园l(fā)現(xiàn)異常 蠕蟲攻擊定位 定位難度：定位難度： 蠕蟲爆發(fā)是源主機(jī)一般是固定的，但是蠕蟲 的種類和網(wǎng)絡(luò)行為卻是各有特點(diǎn)并且更新 速度很快 定位方法：定位方法： 結(jié)合蠕蟲的網(wǎng)絡(luò)行為特征（過濾器），根 據(jù)源IP定位異常主機(jī)即可 在診斷視圖中看有無異常 在診斷視圖中看有沒有異常診斷提示， 如果有TTL太小、IP

8、地址沖突、ARP掃 描等，就需要關(guān)注下。 因?yàn)門TL太小可能是網(wǎng)絡(luò)中存在網(wǎng)絡(luò)環(huán) 路；IP地址沖突和ARP掃面可能是網(wǎng)絡(luò) 中存在ARP病毒。 案例：網(wǎng)絡(luò)環(huán)路 網(wǎng)絡(luò)環(huán)路 網(wǎng)絡(luò)環(huán)路是指某些網(wǎng)段的路由在兩個(gè)或多個(gè) 路由間由于路由的設(shè)置形成環(huán)路，造成發(fā) 往這些網(wǎng)段的數(shù)據(jù)包在路由間循環(huán)的來回 傳送。 利用科來分析網(wǎng)絡(luò)環(huán)路 1.診斷視圖 我們會(huì)發(fā)現(xiàn)有“IP保生存周期太短”的提示： 2.數(shù)據(jù)包視圖 通過數(shù)據(jù)包視圖的解碼可發(fā)現(xiàn)數(shù)據(jù)包的IP 標(biāo)識(shí)相同的數(shù)據(jù)包的TTI值在減?。?故障查找 定位難度 通常導(dǎo)致網(wǎng)絡(luò)環(huán)路是由于路由設(shè)置不夠優(yōu) 化、路由設(shè)置過于簡單或者網(wǎng)絡(luò)改造等原 因造成的，需要了解路由配置，如果路由 設(shè)置

9、復(fù)雜了，工作比較繁瑣。 定位方法 通過查找網(wǎng)絡(luò)路由配置，是否有不夠優(yōu)化 或過于簡單的路由設(shè)置。 案例：IP地址沖突 IP地址沖突： IP地址沖突是指在同一網(wǎng)絡(luò)中有兩個(gè)主機(jī)的 IP地址使用同一IP地址。 IP地址沖突在科來的分析 1診斷視圖 我們會(huì)發(fā)現(xiàn)有IP地址的提示： 2 數(shù)據(jù)包視圖 通過診斷視圖中的沖突數(shù)據(jù)包提示我們?cè)跀?shù)據(jù)包 視圖中可找到IP地址沖突主機(jī)MAC 地址。 如上圖，一個(gè)IP地址對(duì)應(yīng)兩個(gè)MAC地址，192.168.1.1分別對(duì) 應(yīng)00:1D:0F:3D:6D:A2和00:0F:E2:23:0C:86 故障查找 查找難度 有些造成IP地址沖突的主機(jī)是偽造的，無法 直接查找到造成故障的

10、主機(jī)。 定位方法 只能在最接近故障主機(jī)的二層交換機(jī)（一 般通過TTL值，可以判斷出故障源與抓包位 置的距離）上抓包，定位出真實(shí)的造成故 障主機(jī)的MAC，才可以定位出故障機(jī)器。 通過IP端點(diǎn)看網(wǎng)絡(luò)主機(jī)信息 通過字節(jié)字節(jié)排序來找到 流量靠前的主機(jī) 通過排序可以看到流 量排名靠前的主機(jī)， 定位到這些主機(jī)看這 些主機(jī)在做些什么， 是不是正常的業(yè)務(wù)應(yīng) 用。 案例：下載 下載 通過P2P軟件、其它程序等，從網(wǎng)絡(luò)上下載 電影、文件等行為 網(wǎng)絡(luò)現(xiàn)象：網(wǎng)絡(luò)現(xiàn)象： 網(wǎng)絡(luò)用戶上網(wǎng)慢，網(wǎng)絡(luò)訪問延時(shí) 利用科來查找下載 1.在IP端點(diǎn)中利用總流量排序可以看到流量較大的主 機(jī)，定位到主機(jī) 2.定位這臺(tái)機(jī)器到協(xié)議視圖中可以看

11、到它使用協(xié)議中UDP- Other流量占了大部分 3.定位這臺(tái)機(jī)器到矩陣視圖中可以看到它與多個(gè)IP地址進(jìn) 行數(shù)據(jù)交互 4.再看其會(huì)話視圖，可以發(fā)現(xiàn)它與多臺(tái)主機(jī)的大端口進(jìn)行 通信，可以判斷出該主機(jī)在進(jìn)行下載 下載定位 定位難度： 通常進(jìn)行下載機(jī)器的IP地址都是真實(shí)的，可 以通過觀察到的IP地址進(jìn)行定位 定位方法： 通過科來端點(diǎn)視圖中的IP地址進(jìn)行定位，可 以快速的找到下載的機(jī)器 案例：大流量攻擊 大流量攻擊：大流量攻擊： 向網(wǎng)絡(luò)中某一個(gè)IP地址或多個(gè)IP地址發(fā)送大 流量的數(shù)據(jù)包，使網(wǎng)絡(luò)無法正常工作 攻擊后果：攻擊后果： 網(wǎng)絡(luò)用戶上網(wǎng)慢，甚至網(wǎng)絡(luò)癱瘓 攻擊后現(xiàn)象：攻擊后現(xiàn)象： 用戶上網(wǎng)慢，網(wǎng)絡(luò)無法正常運(yùn)行 利用科來分析大流量攻擊 1.在IP端點(diǎn)中利用總流量排序可以看到流量非常大的 主機(jī) 2.定位這臺(tái)機(jī)器到會(huì)話視圖中可以看到它與某個(gè)IP地址有 大流量的數(shù)據(jù)交互，而且基本上都是接受的流量 3.看其具體的數(shù)據(jù)包，可以看到有明顯的填充特征 可以看到明顯 的填充現(xiàn)象， 所以該地址受 到了填充攻擊 攻擊定位