科来网络分析系统简单故障查找简介..
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 定位难度: Syn flood攻击的源IP地址是伪造的,无法通 过源IP定位攻击主机 • 定位方法: 只能在最接近攻击主机的二层交换机(一 般通过TTL值,可以判断出攻击源与抓包位 置的距离)上抓包,定位出真实的攻击主 机MAC,才可以定位攻击机器。
案例:蠕虫攻击
• 蠕虫攻击: 感染机器扫描网络内存在系统或应用程序漏 洞的目的主机,然后感染目的主机,在利 用目的主机收集相应的机密信息等 • 攻击后果: 泄密、影响网络正常运转 • 攻击后现象: 网络缓慢,网关设备堵塞,业务应用掉线等
科来分析SYN FLOOD攻击实例
1.根据初始化TCP连接 与成功建立连接的比例 可以发现异常
2.根据网络连接数 与矩阵视图,可以 确认异常IP
3.会话很有规律, 而且根据异常IP的 数据包解码,我们 发现都是TCP的syn 请求报文,至此, 我们可以定位为syn flood攻击
SYN FLOOD定位
利用科来分析蠕虫攻击实例
1.根据初始化TCP连接 与成功建立连接的比例 可以发现异常 2.通过端点视图,发现 连接数异常的主机,发送 和接收比值差异很大
2.通过TCP会话视图, 发现源主机(固定)向 目的主机(随机)的 445端口发送了大量TCP 连接 ,可以定位其为 蠕虫引发的扫描行为
蠕虫攻击定位
案例:网络环路
• 网络环路 网络环路是指某些网段的路由在两个或多个 路由间由于路由的设置形成环路,造成发 往这些网段的数据包在路由间循环的来回 传送。
利用科来分析网络环路
• 1.诊断视图 我们会发现有“IP保生存周期太短”的提示:
• 2.数据包视图 通过数据包视图的解码可发现数据包的IP 标识相同的数据包的TTI值在减小:
如果在概要视图中发现有异常的话,我们可以到IP端点视图中看具体异常的主机
如果是利用率过大,流量大, 可以通过字节排序来找到流 量靠前的主机
如果是TCP统计异常,可以 通过TCP会话来排序,找到 流量靠前的主机,并看他的 数据包收发情况, 中病毒的主机:TCP会话大、 流量小、发包多收包少 攻击:TCP会话大、流量小、 发包少收包多
物理环路定位
• 定位难度:
物理环路一般都是接网是不注意导致的,所 以产生环路的位置不容易查找。 • 定位方法: 根据数据包中的MAC 地址,结合交换机中百度文库 MAC地址表来查找数据包是通过哪个端口过 来的,然后逐层查找。
案例:SYN FLOOD(syn洪泛)
• SYN FLOOD攻击: 利用TCP三次握手协议的缺陷,向目标主机发送大量的伪造 源地址的SYN连接请求,消耗目标主机的资源,从而不能 够为正常用户提供服务 • 攻击后果: 1.被攻击主机资源消耗严重 2.中间设备在处理时消耗大量资源 • 攻击目的: 1.服务器拒绝服务 2.网络拒绝服务 • 攻击后现象: 1.服务器死机 2.网络瘫痪
科来网络分析系统 常见故障查找简介
查看网络基本运行情况
查看网络的带宽利用率 和每秒产生多少位流量, 如果利用率达到50%以 上,网络中就存在拥塞 的情况
看平均包长,通常网络 的平均包长在500-700字 节,如果过小,网络中 可能存在病毒或是攻击
TCP同步发送和TCP同步 确认发送比值应在1:1, 如果有大量的TCP同步发 送,网络中可能存在基 于TCP的病毒或攻击
IP地址冲突在科来的分析
• 1诊断视图 我们会发现有IP地址的提示:
• 2 数据包视图 通过诊断视图中的冲突数据包提示我们在数据包 视图中可找到IP地址冲突主机MAC 地址。
如上图,一个IP地址对应两个MAC地址,192.168.1.1分别对 应00:1D:0F:3D:6D:A2和00:0F:E2:23:0C:86
案例:物理环路
• 物理环路: 用一根网线连接了一台交换机上的两个端口,或是在进行交 换机串联时有两个网络同时做串接线。 • 环路示意图: 交换机 交换机 交换机 • 环路后果: 1.网络中产生大量广播流量,网络资源被消耗 2.交换机消耗大量资源处理广播数据 • 攻击后现象: 1.网络中组播/广播流量非常大 2.网络瘫痪
故障查找
• 查找难度 有些造成IP地址冲突的主机是伪造的,无法 直接查找到造成故障的主机。 • 定位方法 只能在最接近故障主机的二层交换机(一 般通过TTL值,可以判断出故障源与抓包位 置的距离)上抓包,定位出真实的造成故 障主机的MAC,才可以定位出故障机器。
通过IP端点看网络主机信息
通过字节排序来找到 流量靠前的主机 通过排序可以看到流 量排名靠前的主机, 定位到这些主机看这 些主机在做些什么, 是不是正常的业务应 用。
故障查找
• 定位难度 通常导致网络环路是由于路由设置不够优 化、路由设置过于简单或者网络改造等原 因造成的,需要了解路由配置,如果路由 设置复杂了,工作比较繁琐。 • 定位方法 通过查找网络路由配置,是否有不够优化 或过于简单的路由设置。
案例:IP地址冲突
• IP地址冲突: IP地址冲突是指在同一网络中有两个主机的 IP地址使用同一IP地址。
案例:下载
• 下载 通过P2P软件、其它程序等,从网络上下载 电影、文件等行为 • 网络现象: 网络用户上网慢,网络访问延时
科来分析物理环路实例
1.根据概要视图中的流量, 看广播/组播流量占总流量 的比例,如果过大,网络 中可能就存在物理环路
2.结合IP端点中的广播字节 进行排序,可以看到网络 中广播流量最大的地址
3.定位到这个IP地址看它具 体的会话,选中一个会话 打开该会话
科来分析物理环路实例
4.查看具体的 数据包,可以 发现同一个标 识的数据包反 复出现,所以 网络中有物理 环路
• 定位难度: 蠕虫爆发是源主机一般是固定的,但是蠕虫 的种类和网络行为却是各有特点并且更新 速度很快 • 定位方法: 结合蠕虫的网络行为特征(过滤器),根 据源IP定位异常主机即可
在诊断视图中看有无异常
在诊断视图中看有没有异常诊断提示, 如果有TTL太小、IP地址冲突、ARP扫 描等,就需要关注下。 因为TTL太小可能是网络中存在网络环 路;IP地址冲突和ARP扫面可能是网络 中存在ARP病毒。
案例:蠕虫攻击
• 蠕虫攻击: 感染机器扫描网络内存在系统或应用程序漏 洞的目的主机,然后感染目的主机,在利 用目的主机收集相应的机密信息等 • 攻击后果: 泄密、影响网络正常运转 • 攻击后现象: 网络缓慢,网关设备堵塞,业务应用掉线等
科来分析SYN FLOOD攻击实例
1.根据初始化TCP连接 与成功建立连接的比例 可以发现异常
2.根据网络连接数 与矩阵视图,可以 确认异常IP
3.会话很有规律, 而且根据异常IP的 数据包解码,我们 发现都是TCP的syn 请求报文,至此, 我们可以定位为syn flood攻击
SYN FLOOD定位
利用科来分析蠕虫攻击实例
1.根据初始化TCP连接 与成功建立连接的比例 可以发现异常 2.通过端点视图,发现 连接数异常的主机,发送 和接收比值差异很大
2.通过TCP会话视图, 发现源主机(固定)向 目的主机(随机)的 445端口发送了大量TCP 连接 ,可以定位其为 蠕虫引发的扫描行为
蠕虫攻击定位
案例:网络环路
• 网络环路 网络环路是指某些网段的路由在两个或多个 路由间由于路由的设置形成环路,造成发 往这些网段的数据包在路由间循环的来回 传送。
利用科来分析网络环路
• 1.诊断视图 我们会发现有“IP保生存周期太短”的提示:
• 2.数据包视图 通过数据包视图的解码可发现数据包的IP 标识相同的数据包的TTI值在减小:
如果在概要视图中发现有异常的话,我们可以到IP端点视图中看具体异常的主机
如果是利用率过大,流量大, 可以通过字节排序来找到流 量靠前的主机
如果是TCP统计异常,可以 通过TCP会话来排序,找到 流量靠前的主机,并看他的 数据包收发情况, 中病毒的主机:TCP会话大、 流量小、发包多收包少 攻击:TCP会话大、流量小、 发包少收包多
物理环路定位
• 定位难度:
物理环路一般都是接网是不注意导致的,所 以产生环路的位置不容易查找。 • 定位方法: 根据数据包中的MAC 地址,结合交换机中百度文库 MAC地址表来查找数据包是通过哪个端口过 来的,然后逐层查找。
案例:SYN FLOOD(syn洪泛)
• SYN FLOOD攻击: 利用TCP三次握手协议的缺陷,向目标主机发送大量的伪造 源地址的SYN连接请求,消耗目标主机的资源,从而不能 够为正常用户提供服务 • 攻击后果: 1.被攻击主机资源消耗严重 2.中间设备在处理时消耗大量资源 • 攻击目的: 1.服务器拒绝服务 2.网络拒绝服务 • 攻击后现象: 1.服务器死机 2.网络瘫痪
科来网络分析系统 常见故障查找简介
查看网络基本运行情况
查看网络的带宽利用率 和每秒产生多少位流量, 如果利用率达到50%以 上,网络中就存在拥塞 的情况
看平均包长,通常网络 的平均包长在500-700字 节,如果过小,网络中 可能存在病毒或是攻击
TCP同步发送和TCP同步 确认发送比值应在1:1, 如果有大量的TCP同步发 送,网络中可能存在基 于TCP的病毒或攻击
IP地址冲突在科来的分析
• 1诊断视图 我们会发现有IP地址的提示:
• 2 数据包视图 通过诊断视图中的冲突数据包提示我们在数据包 视图中可找到IP地址冲突主机MAC 地址。
如上图,一个IP地址对应两个MAC地址,192.168.1.1分别对 应00:1D:0F:3D:6D:A2和00:0F:E2:23:0C:86
案例:物理环路
• 物理环路: 用一根网线连接了一台交换机上的两个端口,或是在进行交 换机串联时有两个网络同时做串接线。 • 环路示意图: 交换机 交换机 交换机 • 环路后果: 1.网络中产生大量广播流量,网络资源被消耗 2.交换机消耗大量资源处理广播数据 • 攻击后现象: 1.网络中组播/广播流量非常大 2.网络瘫痪
故障查找
• 查找难度 有些造成IP地址冲突的主机是伪造的,无法 直接查找到造成故障的主机。 • 定位方法 只能在最接近故障主机的二层交换机(一 般通过TTL值,可以判断出故障源与抓包位 置的距离)上抓包,定位出真实的造成故 障主机的MAC,才可以定位出故障机器。
通过IP端点看网络主机信息
通过字节排序来找到 流量靠前的主机 通过排序可以看到流 量排名靠前的主机, 定位到这些主机看这 些主机在做些什么, 是不是正常的业务应 用。
故障查找
• 定位难度 通常导致网络环路是由于路由设置不够优 化、路由设置过于简单或者网络改造等原 因造成的,需要了解路由配置,如果路由 设置复杂了,工作比较繁琐。 • 定位方法 通过查找网络路由配置,是否有不够优化 或过于简单的路由设置。
案例:IP地址冲突
• IP地址冲突: IP地址冲突是指在同一网络中有两个主机的 IP地址使用同一IP地址。
案例:下载
• 下载 通过P2P软件、其它程序等,从网络上下载 电影、文件等行为 • 网络现象: 网络用户上网慢,网络访问延时
科来分析物理环路实例
1.根据概要视图中的流量, 看广播/组播流量占总流量 的比例,如果过大,网络 中可能就存在物理环路
2.结合IP端点中的广播字节 进行排序,可以看到网络 中广播流量最大的地址
3.定位到这个IP地址看它具 体的会话,选中一个会话 打开该会话
科来分析物理环路实例
4.查看具体的 数据包,可以 发现同一个标 识的数据包反 复出现,所以 网络中有物理 环路
• 定位难度: 蠕虫爆发是源主机一般是固定的,但是蠕虫 的种类和网络行为却是各有特点并且更新 速度很快 • 定位方法: 结合蠕虫的网络行为特征(过滤器),根 据源IP定位异常主机即可
在诊断视图中看有无异常
在诊断视图中看有没有异常诊断提示, 如果有TTL太小、IP地址冲突、ARP扫 描等,就需要关注下。 因为TTL太小可能是网络中存在网络环 路;IP地址冲突和ARP扫面可能是网络 中存在ARP病毒。