如何參照歷史數(shù)據(jù)設(shè)定告警有效檢測與分析異常流量_第1頁
如何參照歷史數(shù)據(jù)設(shè)定告警有效檢測與分析異常流量_第2頁
如何參照歷史數(shù)據(jù)設(shè)定告警有效檢測與分析異常流量_第3頁
如何參照歷史數(shù)據(jù)設(shè)定告警有效檢測與分析異常流量_第4頁
如何參照歷史數(shù)據(jù)設(shè)定告警有效檢測與分析異常流量_第5頁
已閱讀5頁,還剩6頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、余毅穎2006-09-14NetScout應(yīng)用技巧 案例分析2方法:方法: Longtime Analysis: 對用戶網(wǎng)絡(luò)環(huán)境的關(guān)鍵鏈路進行長時間的流量分析(一個業(yè)務(wù)周期如7天) Get Link Baseline: 獲得用戶網(wǎng)絡(luò)骨干鏈路的基準資料 流量比特率基準線 數(shù)據(jù)包速率基準線 未知流量IP Other基準線 Create Alarm: 依據(jù)骨干鏈路的基準資料,建立針對異常流量的告警條件。目標:目標: Be foreign to normal traffic : 日常正常的通信不會導(dǎo)致告警 Abnormity traffic alarm : 當骨干鏈路上爆發(fā)病毒蠕蟲或攻擊流量時(包括已

2、知的與未知的): 及時觸發(fā)告警 通知管理員:發(fā)送SNMP Trap 到網(wǎng)管平臺,同時發(fā)送郵件到指定地址 提供分析證據(jù)方法與目標方法與目標網(wǎng)絡(luò)環(huán)境與部署示意簡圖網(wǎng)絡(luò)環(huán)境與部署示意簡圖 Longtime Analysis & Get Link Baseline 觀察鏈路層用量曲線周報表(或月報表) 鏈路層的數(shù)據(jù)包速率基準線最高值不超過5萬個包/秒基準線(入基準線(入/出)出)基準線(總量)基準線(總量)數(shù)據(jù)包基準速率峰值數(shù)據(jù)包基準速率峰值3萬個萬個/秒(進秒(進/出方向)出方向)數(shù)據(jù)包基準速率峰值數(shù)據(jù)包基準速率峰值5萬個萬個/秒(流量總量)秒(流量總量)Create Alarm 告警類型可以是鏈路

3、層的數(shù)據(jù)包速率/利用率/應(yīng)用數(shù)據(jù)包數(shù)量/基準線告警 在這里我們設(shè)定:鏈路層數(shù)據(jù)包速率如果在30秒內(nèi)超過200萬個,觸發(fā)告警。持續(xù)時間告警類型量度單位閥值設(shè)定觸發(fā)動作觸發(fā)腳本發(fā)送郵件Abnormity traffic alarm告警時間告警觸發(fā)觸發(fā)告警的探針接口告警類型描述事件持續(xù)時間告警閥值實際事件數(shù)值 探針接口if3,2006年9月1日 下午14:43:17觸發(fā)告警: 鏈路數(shù)據(jù)包數(shù)量在15秒內(nèi)產(chǎn)生5,232,161個(五百萬),遠遠超過設(shè)定的告警閥值105萬/15秒 需要進一步確定流量異常,并深入分析流量異常的類型與源頭直接獲取告警證據(jù)直接獲取告警證據(jù) 無需要復(fù)雜的操作,直接用鼠標雙擊告警,

4、系統(tǒng)立即彈出左邊所示的鏈路層用量曲線圖:流量行為特征分析 事件數(shù)值: 從圖中可以直觀看到,事件發(fā)生時,鏈路的數(shù)據(jù)包速率(流出方向)達到24萬個/秒! 基準數(shù)據(jù): 最重要的是,系統(tǒng)長期分析的基準線顯示,鏈路在該時段的數(shù)據(jù)包基準速率為2萬個/秒,超過基準數(shù)值10倍。 方向比較: 藍色流出方向的數(shù)據(jù)速率異常,而黃色表示的流入方向低于歷史水平;流量行為特征符合異常流量大規(guī)模爆發(fā)特征。事件發(fā)生的數(shù)據(jù)包速率歷史基準線獲取異常流量的源頭獲取異常流量的源頭 仍然無需要復(fù)雜的操作,直接用鼠標在鏈路層曲線上點右鍵,選擇最高的網(wǎng)絡(luò)層主機用量曲線,即獲得左圖所示的分析結(jié)果:確定流量異常,并獲得異常源頭 確定流量異常:

5、 系統(tǒng)顯示,有一個IP在事件發(fā)生時間,流出方向數(shù)據(jù)包速率達到17000包/秒!沒有比較就沒有依據(jù),(信息中心最繁忙的WEB服務(wù)器的數(shù)據(jù)包速率是2000包/秒) 獲理異常源頭: 如左圖所示,直接把鼠標停留在數(shù)值最高的紅點上,系統(tǒng)提示該源頭IP是:19.109.163.23。 為什么“源頭”的數(shù)據(jù)包速率低于鏈路層告警值: 同一時間有其他IP產(chǎn)生異常流量 整體異常流量大小超過探針設(shè)定的應(yīng)用層處理能力參數(shù)獲取異常流量的端口號獲取異常流量的端口號端口號數(shù)據(jù)包數(shù)量流量總量 使用TCP/UDP Port Discover功能,可以獲得所有未知流量的端口號、數(shù)據(jù)包數(shù)量、流量總量 從上圖可以看出TCP端口678

6、6,共生產(chǎn)生28.43G流量,其數(shù)據(jù)包數(shù)量共3.6億個!可以計算出,TCP6786端口產(chǎn)生的流量,每個數(shù)據(jù)包的大小為77字節(jié),僅比以太網(wǎng)最小的數(shù)據(jù)包大13個字節(jié),是比較典型的異常流量包大小。 歷史數(shù)據(jù)追溯以及告警的重要性歷史數(shù)據(jù)追溯以及告警的重要性 查詢該骨干鏈路過去6小時的分析數(shù)據(jù),我們發(fā)現(xiàn): 在過去6小時來,鏈路上一直都有異常流量產(chǎn)生,如上圖所示的19.109.27.116,在流出方向每秒種產(chǎn)生10000萬個數(shù)據(jù)包;172.21.160.144在流入方向每秒種產(chǎn)生6000個數(shù)據(jù)包。 如上圖所示,進而分析這些數(shù)據(jù)包的流量類型,我們發(fā)現(xiàn)全部是IP_Other未知流量,且只用在流入方向有流量而流入方

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論